Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN e condivisione risorse

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
khyado



Registrato: 20/05/07 18:33
Messaggi: 7

MessaggioInviato: Ven Ott 05, 2007 5:22 pm    Oggetto: VPN e condivisione risorse Rispondi citando

Ho un network cosi’ costituito:

internet-router-zeroshell-lan

ETH00 -> 192.168.1.254 LAN interna
ETH01 -> IP pubblico
ETH02 -> 192.168.0.254 Captive portal

La rete è nattata dietro la ETH01

Ho attivato una Open VPN Host to LAN seguendo la precisa procedura trovata sulla documentazione, e riesco a connettermi tranquillamente, con attribuzione su PC remoto di un IP 192.168.250.1 secondo le impostazioni di default.
Dovendo condividere alcune risorse dei PC sulla ETH00 , ho pensato di fare BRIDGE tra quest’ultima e la VPN99 , nel tentativo di far comunicare PC facenti parte di reti con IP diversi, ma l’unico risultato ottenuto è quello di bloccare completamente la navigazione sia sulla rete interna che sul PC remoto, e di poter accedere a Zeroshell solamente dal PC remoto sconnettendo la VPN.
Non ho attivato lo SPANNIG TREE PROTOCOL, poiché la lan interna è formata da soli 5 computer, e comunque anche attivandolo non ho risolto il problema.
Come spero abbiate capito, ho la necessità di collegarmi tramite PC remoto alla LAN su ET00 e di condividere le risorse di quest’ultima, permettendo il dialogo del PC della VPN con quelli della LAN.

Attendo un vostro suggerimento
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Ott 05, 2007 6:40 pm    Oggetto: Rispondi citando

Una delle cose che penso di fare nelle prossime release e di migrare automaticamente la configurazione di un'interfaccia di rete (IP+VLAN) quando questa viene aggiunta ad un bridge. Prendendo in esempio il tuo caso, l'IP 192.168.1.254 assegnato alla ETH00 dovrebbe passare automaticamente all'interfaccia BRIDGE00. Quest'automatismo esiste se crei il bridge dal Menu sulla console, ma non se lo fai via web. Pertanto la soluzione è di connetterti alla GUI di Zeroshell da un'interfaccia diversa dalla ETH00 ed aggiungere al BRIDGE00 l'IP 192.168.1.254.

Fatto ciò, Zeroshell diviene nuovamente raggiungibile dalla LAN. Ma non hai finito.
Poiché i tuoi client remoti sono in bridge con la LAN e pertanto ne condividono il layer 2 (e come se fossero collegati con una patch cord virtuale direttamente sullo stesso switch a cui sono collegati gli host locali della LAN), dovranno anch'essi ottenere un IP della classe 192.168.1.0/24. Per far ciò hai due possibilità:

- riconfigura dalla sezione [VPN]->[Host-to-LAN (OpenVPN)] il range IP, il default Gateway e il DNS. Ovviamente il default GW e il DNS devono essere 192.168.1.254 e il range IP deve contenere IP non assegnati agli host locali della LAN, ma comunque appartenenti alla subnet 192.168.1.0/24;

- la seconda soluzione prevede di lasciare vuoti i parametri precedenti in modo che sia il dhcp della LAN ad assegnare i parametri anche alle VPN. La cosa appare possibile ricordando che virtualmente gli host della LAN e gli host remoti in VPN sono virtualmente sullo stesso segmento di rete in virtu' del BRIDGE.

In entrambi i casi ricordati di disabilitare il source NAT sempre dalla sezione [VPN]->[Host-to-LAN (OpenVPN)].

Saluti
Fulvio Ricciardi
Top
Profilo Invia messaggio privato
Urukay



Registrato: 09/11/06 14:49
Messaggi: 8

MessaggioInviato: Ven Nov 23, 2007 12:59 pm    Oggetto: Problemi di Bridge... Rispondi citando

Ciao a tutti, espongo subito il mio problema: ho realizzato una vpn con l'openvpn di zeroshell ed, dopo esser passato per il problema di khyado, ed aver seguito le indicazioni di Fulvio, mi ritrovo in questa situazione:
1. riesco ad autenticarmi correttamente
2. vedo solo la macchina zeroshell, non vedo gli altri host.

Penso che mi manchi qualche rotta...

ma non ne sono sicuro...

descrivo la mia rete:
ETH00 -> 192.168.2.0/24 LAN interna
ETH01 -> 192.168.100.0/24 tratto modem zeroshell
VPN99 -> 192.169.2.100-150 (spazio indirizzi liberi) in Bridge con ETH00
il gateway è l'indirizzo della macchina zeroshell 192.168.2.x

ppp0 -> xxx.xxx.x.x/24 Connessione ppp

(Come da indicazioni di Fulvio, il Bridge l'ho creato dalla console)

le route sono queste

Destination Netmask Type Metric Gateway Interface Flags State Source
192.168.100.1 255.255.255.255 Host 0 none ppp0 UH Up Auto
192.168.100.0 255.255.255.0 Net 0 none ETH01 U Up Auto
192.168.2.0 255.255.255.0 Net 0 none BRIDGE00 U Up Auto
DEFAULT GATEWAY 0.0.0.0 Net 0 192.168.100.1 ppp0 UG Up Static

é un problema di Route, Bridge o VPN ?
Top
Profilo Invia messaggio privato MSN
MarioP



Registrato: 04/12/07 09:12
Messaggi: 28

MessaggioInviato: Mar Dic 04, 2007 9:27 am    Oggetto: Rispondi citando

Ciao a tutti,
ho installato ieri per la prima volta ZS e devo dire che è spettacolare. Ho anche io una situazione come quella di Urukay (senza il CP) e seguendo le indicazioni di Fulvio funziona tutto benissimo (ho anche installato un client di una mia applicazione che lavora con SQLServer e funziona alla perfezione con il DB raggiunto via VPN).
Ho solo un paio di dubbi legati alla navigazione internet dei client VPN: tutto il traffico IP viene "catturato" dal client OpenVPN e dirottato su ZS, per cui vado su internet con l'ip pubblico della ETH01. Mi piacerebbe però, per problemi di policy, che il traffico internet venisse dirotatto verso l'ip 192.168.2.8 dove c'è il gateway che la LAN "vera" utilizza. In questo modo lanavigazione è equiparata sia che si è collegati a mezzo VPN che non.
Purtroppo se imposto questo IP come DGW, ZS non risponde più sull'indirizzo pubblico rendendo la VPN di fatto non operativa.
Qualcuno ha dei suggerimenti per favore?

Inoltre, in alcuni e rari casi mi piacerebbe che la navigazione del client non avvenisse dalla VPN ma direttamente dal lato client; è fattibile?

Un'ultima cosa e chiudo, promesso: se volessi assegnare ai client un indirizzo di una sottorete diversa (es. 10.9.8.0, in modo da essere quasi sicuro che ovunque io mi colleghi non vado a interferire con gli indirizzi locali), posso poi agire sulle tabelle di routing per ritornare alla situazione esposta da Urukay?

Buoan giornata a tutti
Top
Profilo Invia messaggio privato
Urukay



Registrato: 09/11/06 14:49
Messaggi: 8

MessaggioInviato: Mar Dic 04, 2007 10:07 am    Oggetto: CP? Rispondi citando

Ciao MarioP, hai scritto che hai i miei stessi problemi, ma tu riesci a comunicare con altri host che non siano la Zeroshell attraverso la VPN, se non sono di troppo disturbo, mi potresti indicare le tue tabelle di routing o 4 info per capire dove ho sbagliato Question
Ti ringrazio anticipatamente

ps:cosa intendi quando dici, (senza CP)?
Top
Profilo Invia messaggio privato MSN
MarioP



Registrato: 04/12/07 09:12
Messaggi: 28

MessaggioInviato: Mar Dic 04, 2007 10:15 am    Oggetto: Rispondi citando

Si, riesco tranquillamente sia con le risorse condivise sia utilizzando le C$, come administrator; mi connetto sia con l'ip che con il nome host (anche se non vedo nulla esplorando la rete). Onestamente non ho fatto nulla oltre a quanto fatto da te e poi ho applicato i suggerimenti di Fulvio.

La tabella di routing, automatica è questa:
217.220.66.0 255.255.255.224 Net 0 none ETH01 U Up Auto
192.168.2.0 255.255.255.0 Net 0 none BRIDGE00 U Up Auto
DEFAULT GATEWAY 0.0.0.0 Net 0 217.220.66.4 ETH01 UG Up Static

La bridge l'ho creata dalla console Web collegandomi dall'ip pubblico, e a questa ho poi aggiunto il suo indirizzo 192.168.2.141.

Se posso esserti ancora di aiuto fammi sapere.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it