Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

OpenVPN con WAN in loadbalancing

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
scanepa



Registrato: 25/02/12 10:25
Messaggi: 6

MessaggioInviato: Sab Feb 25, 2012 10:43 am    Oggetto: OpenVPN con WAN in loadbalancing Rispondi citando

Ciao a tutti,
ho attivato OpenVPN sul mio firewall che è connesso a Internet usando una ADSL e una SHDSL entrambe con IP statico.
Il router ADSL fa NAT e filtra tutte le connessioni in ingresso, il router SHDSL non ha nessuna regola di firewalling e quindi mi aspetto di poter vedere attraverso questa interfaccia la mia VPN, ma così non è. Se mi connetto all'esterno e provo, con nmap a vedere se la porta di OpenVPN è aperta ho in risposta che è filtrata. Cosa sbaglio? Ho provato ha vedere le regole di iptables (via ssh) e mi sembrano ok.

Ciao
Stefano
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 393

MessaggioInviato: Sab Feb 25, 2012 2:00 pm    Oggetto: Rispondi citando

Non ho ben capito , il router con shdsl non natta ? Hai un pubblico sull' interfaccia interna ? Che indirizzo ha l'interfaccia di Zs connessa a tale router , pubblico o privato ?
Top
Profilo Invia messaggio privato
scanepa



Registrato: 25/02/12 10:25
Messaggi: 6

MessaggioInviato: Sab Feb 25, 2012 10:47 pm    Oggetto: Rispondi citando

Si scusa ma sono stato poco chiaro:
1) IP statico da entrambe le parti
2) lato SHDSL IP publico direttamente all'ETH del firewall
3) lato ADSL router del provider con NAT configurabile su mia richiesta, per ora non ho fatto aprire nessuna porta.

Ciao
Stefano
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 393

MessaggioInviato: Dom Feb 26, 2012 12:54 pm    Oggetto: Rispondi citando

Se non ho capito male , lasciando stare per ora il router che fà nat , sul router con shdsl hai un pubblico lato wan (doppino , seriale..) ed hai anche un pubblico sull interfaccia interna , alla quale è connesso a sua volta l'interfaccia del FW (ZS) , alla quale è stato assegnato un pubblico ? Qual è il default-gateway del FW ? Se colleghi un pc direttamente al router shdsl , la configurazione ip è automatica (dhcp)o la setti manualmente ? Il pc riesce a navigare ? Quando vuoi connetterti dall'esterno via vpn , punti sul pubblico lato wan del router shdsl o direttamente su pubblico del FW ? Lato ZS , le policy di default del firewall sono ad ACCEPT sia sulla chain di input (ed output) che su quella di forward .
Top
Profilo Invia messaggio privato
scanepa



Registrato: 25/02/12 10:25
Messaggi: 6

MessaggioInviato: Dom Feb 26, 2012 3:38 pm    Oggetto: Rispondi citando

redfive ha scritto:
Se non ho capito male , lasciando stare per ora il router che fà nat , sul router con shdsl hai un pubblico lato wan (doppino , seriale..) ed hai anche un pubblico sull interfaccia interna , alla quale è connesso a sua volta l'interfaccia del FW (ZS) , alla quale è stato assegnato un pubblico ?


Il router cisco è configurato con SHDSL ip unnumbered Ethernet 0, il firewall è collegato con un cavo incrociato e ha un IP della stessa submet del router. Quindi IP pubblico.

redfive ha scritto:
Qual è il default-gateway del FW ?


Direi il router SHDSL ma mi fai venire dei dubbi.

redfive ha scritto:
Se colleghi un pc direttamente al router shdsl , la configurazione ip è automatica (dhcp)o la setti manualmente ?


IP statico, che siamo matti.

redfive ha scritto:
Il pc riesce a navigare ?


Questa domanda è un po' sciocca, non credi? Wink Smile Ovvio che ho testato tutte le connessioni di rete. Il router ADSL viene usato per tutto il traffico HTML grazie a una bella regola di load balancing

redfive ha scritto:
Quando vuoi connetterti dall'esterno via vpn , punti sul pubblico lato wan del router shdsl o direttamente su pubblico del FW ?


IP pubblico del FW

redfive ha scritto:
Lato ZS , le policy di default del firewall sono ad ACCEPT sia sulla chain di input (ed output) che su quella di forward .


DROP di dafault. Ma da iptables -L mi sembra di vedere che l'accessione delle VPN aggiunga una regola di accept sulla porta delle VPN, regola che da interfaccia web non vedo perché, suppongo, è un SYS_.

Grazie
Stefano
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 393

MessaggioInviato: Dom Feb 26, 2012 5:07 pm    Oggetto: Rispondi citando

Proverei a creare , in balancing rules , una regola che instradi i pacchetti di risposta destinati ai vpn client verso il gateway corretto (ip e0 del cisco). Potresti postare la regola che viene aggiunta in automatico quando attivi la vpn ? La ho sempre inserita manualmente , cambiando la policy di default da ACCEPT a DROP
Top
Profilo Invia messaggio privato
scanepa



Registrato: 25/02/12 10:25
Messaggi: 6

MessaggioInviato: Lun Feb 27, 2012 5:49 pm    Oggetto: Rispondi citando

redfive ha scritto:
Proverei a creare , in balancing rules , una regola che instradi i pacchetti di risposta destinati ai vpn client verso il gateway corretto (ip e0 del cisco). Potresti postare la regola che viene aggiunta in automatico quando attivi la vpn ? La ho sempre inserita manualmente , cambiando la policy di default da ACCEPT a DROP


Scusa ma cosa intendi per aggiungere a mano?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 393

MessaggioInviato: Lun Feb 27, 2012 7:31 pm    Oggetto: Rispondi citando

Dopo aver cambiato nella chain di input la policy di default da accept a drop ,per permettere la connessione al vpn server ho sempre inserito una regola accept, specificando interfaccia di ingresso , protocollo e porta (credo che tu avedo il pubblico statico possa anche specificare il dest.ip address) ,eventualmente in IPTABLES Parameters -m limit , -m state (in funzione di altre rules) ,-m comment.... il tutto tranquillamente da GUI .
Top
Profilo Invia messaggio privato
scanepa



Registrato: 25/02/12 10:25
Messaggi: 6

MessaggioInviato: Mar Feb 28, 2012 9:05 pm    Oggetto: Rispondi citando

Grazie, ora funziona tutto. L'unico problema è che ora mi sono tagliato fuori dall'interfaccia web di amministrazione per un errore, rimedierò domani usando la console.

Ancora grazie.

Ciao
Stefano
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it