| Precedente :: Successivo |
| Autore |
Messaggio |
scanepa
Registrato: 25/02/12 10:25
Messaggi: 5
|
 Inviato: Sab Feb 25, 2012 10:43 am Oggetto: OpenVPN con WAN in loadbalancing |
 |
|
Ciao a tutti,
ho attivato OpenVPN sul mio firewall che è connesso a Internet usando una ADSL e una SHDSL entrambe con IP statico.
Il router ADSL fa NAT e filtra tutte le connessioni in ingresso, il router SHDSL non ha nessuna regola di firewalling e quindi mi aspetto di poter vedere attraverso questa interfaccia la mia VPN, ma così non è. Se mi connetto all'esterno e provo, con nmap a vedere se la porta di OpenVPN è aperta ho in risposta che è filtrata. Cosa sbaglio? Ho provato ha vedere le regole di iptables (via ssh) e mi sembrano ok.
Ciao
Stefano |
|
| Top |
|
 |
redfive
Registrato: 26/06/09 22:21
Messaggi: 277
|
| Inviato: Sab Feb 25, 2012 2:00 pm Oggetto: |
|
|
| Non ho ben capito , il router con shdsl non natta ? Hai un pubblico sull' interfaccia interna ? Che indirizzo ha l'interfaccia di Zs connessa a tale router , pubblico o privato ? |
|
| Top |
|
|
scanepa
Registrato: 25/02/12 10:25
Messaggi: 5
|
| Inviato: Sab Feb 25, 2012 10:47 pm Oggetto: |
|
|
Si scusa ma sono stato poco chiaro:
1) IP statico da entrambe le parti
2) lato SHDSL IP publico direttamente all'ETH del firewall
3) lato ADSL router del provider con NAT configurabile su mia richiesta, per ora non ho fatto aprire nessuna porta.
Ciao
Stefano |
|
| Top |
|
|
redfive
Registrato: 26/06/09 22:21
Messaggi: 277
|
| Inviato: Dom Feb 26, 2012 12:54 pm Oggetto: |
|
|
| Se non ho capito male , lasciando stare per ora il router che fà nat , sul router con shdsl hai un pubblico lato wan (doppino , seriale..) ed hai anche un pubblico sull interfaccia interna , alla quale è connesso a sua volta l'interfaccia del FW (ZS) , alla quale è stato assegnato un pubblico ? Qual è il default-gateway del FW ? Se colleghi un pc direttamente al router shdsl , la configurazione ip è automatica (dhcp)o la setti manualmente ? Il pc riesce a navigare ? Quando vuoi connetterti dall'esterno via vpn , punti sul pubblico lato wan del router shdsl o direttamente su pubblico del FW ? Lato ZS , le policy di default del firewall sono ad ACCEPT sia sulla chain di input (ed output) che su quella di forward . |
|
| Top |
|
|
scanepa
Registrato: 25/02/12 10:25
Messaggi: 5
|
| Inviato: Dom Feb 26, 2012 3:38 pm Oggetto: |
|
|
| redfive ha scritto: | | Se non ho capito male , lasciando stare per ora il router che fà nat , sul router con shdsl hai un pubblico lato wan (doppino , seriale..) ed hai anche un pubblico sull interfaccia interna , alla quale è connesso a sua volta l'interfaccia del FW (ZS) , alla quale è stato assegnato un pubblico ? |
Il router cisco è configurato con SHDSL ip unnumbered Ethernet 0, il firewall è collegato con un cavo incrociato e ha un IP della stessa submet del router. Quindi IP pubblico.
| redfive ha scritto: | | Qual è il default-gateway del FW ? |
Direi il router SHDSL ma mi fai venire dei dubbi.
| redfive ha scritto: | | Se colleghi un pc direttamente al router shdsl , la configurazione ip è automatica (dhcp)o la setti manualmente ? |
IP statico, che siamo matti.
| redfive ha scritto: | | Il pc riesce a navigare ? |
Questa domanda è un po' sciocca, non credi?   Ovvio che ho testato tutte le connessioni di rete. Il router ADSL viene usato per tutto il traffico HTML grazie a una bella regola di load balancing
| redfive ha scritto: | | Quando vuoi connetterti dall'esterno via vpn , punti sul pubblico lato wan del router shdsl o direttamente su pubblico del FW ? |
IP pubblico del FW
| redfive ha scritto: | | Lato ZS , le policy di default del firewall sono ad ACCEPT sia sulla chain di input (ed output) che su quella di forward . |
DROP di dafault. Ma da iptables -L mi sembra di vedere che l'accessione delle VPN aggiunga una regola di accept sulla porta delle VPN, regola che da interfaccia web non vedo perché, suppongo, è un SYS_.
Grazie
Stefano |
|
| Top |
|
|
redfive
Registrato: 26/06/09 22:21
Messaggi: 277
|
| Inviato: Dom Feb 26, 2012 5:07 pm Oggetto: |
|
|
| Proverei a creare , in balancing rules , una regola che instradi i pacchetti di risposta destinati ai vpn client verso il gateway corretto (ip e0 del cisco). Potresti postare la regola che viene aggiunta in automatico quando attivi la vpn ? La ho sempre inserita manualmente , cambiando la policy di default da ACCEPT a DROP |
|
| Top |
|
|
scanepa
Registrato: 25/02/12 10:25
Messaggi: 5
|
| Inviato: Lun Feb 27, 2012 5:49 pm Oggetto: |
|
|
| redfive ha scritto: | | Proverei a creare , in balancing rules , una regola che instradi i pacchetti di risposta destinati ai vpn client verso il gateway corretto (ip e0 del cisco). Potresti postare la regola che viene aggiunta in automatico quando attivi la vpn ? La ho sempre inserita manualmente , cambiando la policy di default da ACCEPT a DROP |
Scusa ma cosa intendi per aggiungere a mano? |
|
| Top |
|
|
redfive
Registrato: 26/06/09 22:21
Messaggi: 277
|
| Inviato: Lun Feb 27, 2012 7:31 pm Oggetto: |
|
|
| Dopo aver cambiato nella chain di input la policy di default da accept a drop ,per permettere la connessione al vpn server ho sempre inserito una regola accept, specificando interfaccia di ingresso , protocollo e porta (credo che tu avedo il pubblico statico possa anche specificare il dest.ip address) ,eventualmente in IPTABLES Parameters -m limit , -m state (in funzione di altre rules) ,-m comment.... il tutto tranquillamente da GUI . |
|
| Top |
|
|
scanepa
Registrato: 25/02/12 10:25
Messaggi: 5
|
| Inviato: Mar Feb 28, 2012 9:05 pm Oggetto: |
|
|
Grazie, ora funziona tutto. L'unico problema è che ora mi sono tagliato fuori dall'interfaccia web di amministrazione per un errore, rimedierò domani usando la console.
Ancora grazie.
Ciao
Stefano |
|
| Top |
|
|
|
FAQ
Cerca
Gruppi
Registrati
Profilo
Log in
Messaggi privati
