www.zeroshell.net

[DaniloFailli]

Ciao, ho una situazione particolare che non riesco a comprendere, la mia configurazione attuale è la seguente:

LAN router: 172.16.2.1
WAN ZS (ETH01): 172.16.2.10
LAN ZS (ETH02): 192.168.2.1
NAT -> ETH01

Dalla LAN accedo all'interfaccia WEB di ZS in SSH senza problemi.

La situazione anomala è che pur aprendo la porta ssh dal router verso ZS non riesco a raggiungere ZS dall'esterno. Se invece apro una porta sia sul router che su ZS per raggiungere un dispositivo interno alla LAN, allora tutto funziona correttamente.

A questo punto la prova che ho fatto è stata di pingare ZS dal router, sembra come se il router non vedesse ZS, il router mi restituisce Request time out.

Se da un PC della rete pingo una qualsiasi delle ETH di ZS o la LAN del router, non incontro problemi.

[redfive]

Controlla da quali interfacce/s.ip hai permesso il management via ssh, da Setup, SSH.
ciao

[DaniloFailli]

ciao redfive, ho abilitato:
From Subnet 172.16.2.0/24 from ETH01
From [IP pubblico] from ETH01

Ma nulla di fatto.

[redfive]

Potresti postar l'output di

[DaniloFailli]

Sto eseguendo i comandi da un'altra sede che ha il medesimo problema.

LAN router: 172.16.1.1
WAN ZS (ETH01): 172.16.1.10
LAN ZS (ETH02): 192.168.80.253
NAT -> ETH01

Questo è il risultato del primo comando:

[redfive]

[DaniloFailli]

la seconda è relativa al traffico LAN
la seconda con IP 84.... l'ho impostata perchè quelo è il pubblico sulla wan del router
la terza dovrebbe abilitare il traffico proveniente dalla rete 172.16.1.x sulle scheda WAN.

Sta proprio qui il punto, dal router non pingo ZS.

Questo mi impedisce di raggiungere qualsiasi servizio di ZS dall'esterno, comprese le VPN

[redfive]

OK, ma il ping è una cosa (come è configurata la chain di INPUT del firewall ?) l'accesso ssh un'altra .....Prova a dichiarare , solo 2 regole, una con l'interfaccia lan ( e se vuoi l'indirizzo di rete/sm) e una con l'interfaccia wan, senza ip addresses ....
ciao

[EmmeKappa]

io non ho capito una cosa, vuoi accedere all'interfaccia Web o tramite terminale sulla ssh ?

se vuoi arrivare all'interfaccia web devi abilitarti anche nell'apposita sezione

setup ---> web


potrebbe essere banale ma hai pensato di non aprire interfaccia direttamente su internet e abilitare un roadwarrior ? (vpn)

[DaniloFailli]

La chain di INPUT è ACCEPT.
Ho configurato SSH con le sole due regole LAN con IP/SM e WAN senza IP.

ma dall'esterno ancora non raggiungo ZS in SSH

[DaniloFailli]

Passo in avanti:

Nella parte web ho abilitato Sia ETH01 che ETH02

Ora raggiungo il firewall dall'esterno, ma il ping dal router e il collegamento VPN ancora non va.

Andando in VPN L2L e visualizzando il log, ricevo quanto segue:

[EmmeKappa]

stai tentando una lan to lan ?

io per connettermi in remoto sulla macchina uso un Host to Lan

per intenderci quella gia' creata in automatico

settata come tcp sulla 1199 e non come udp

il router esterno e' reindirizzato per mandarmi la 1199 verso l'interno su ZS tcp

sul router devi creare un " virtual server " per instradare le richieste verso ZS

[DaniloFailli]

Ciao EmmeKappa, il router è già impostato, nelle open port ho inserito la 1195 UDP passante, arriva diretta a ZS.

[redfive]

Con la chain di input ad accept, da quella che per ZS è la rete wan (anche se privata) devi poter pingare l'ip delll'interfaccia wan di ZS, es se Zs avesse ip 172.19.0.254, il pc 172.19.0.100 deve pingare ZS, lo stesso per ssh, se hai dichiarato l'interfaccia wan, deve accettare qualsiasi connessione da quell'interfaccia, a maggior ragione se l'host 'chiamante' è nello stesso dominio di broadcast.
Per la vpn, come è configurata ? psk o X.509 ?
ciao

[DaniloFailli]

Io dai PC della rete pingo tranquillamente ZS.
Il problema nasce quando provo a pingare ZS dal router.

[redfive]

Dal router pinghi anche i pc ?
Come è configurata la vpn ?
ciao

[Kempes]

scusate m'intrometto
il ruoter non pinga ne ZS ne i pc.
i pc non si pingano perchè e nattato ETH01 e posso capirlo non capisco il perchè non si pinga ZS.
la VPN è configurata Lan to Lan con autenticazione Pre-Shared Key identica sui ZS delle due lan

[DaniloFailli]

Kempes è un mio collega.

Ho creato una route statica sl route, così facendo pingo tutti i PC/Server che ho in rete.
ZS non riesco a pingarlo.

Diciamo che il ping a questo punto è la cosa meno preoccupante.
La questione ora diventa relativa alle VPN

[redfive]

Forse non ho ben capito la topologia, e se ci sono dei pc nella rete tra la wan di ZS ed il router connesso ad internet (172.16.2.0), o se i pc sono tutti 'dietro' a ZS ( quindi nella rete 192.168.2.0) e nattati in uscita da ZS con l'ip 172.16.2.10 .....
Il router 172.16.2.1 non riesce a pingare 172.16.2.10 o 192.168.2.1 ?
Per la VPN, è abbastanza strano, almeno ... una L2L PSK di solito è funzionante in meno 3 minuti di orologio...La porta và forwardata solo nel router esposto ad internet a cui è collegata la macchina che funge da VPN server, nel router del sito dove invece è presente la macchina che agisce da client non serve forwardare niente.
Potresti postare le schermate relative alle config. delle L2L ?
Se hai come default policy accept sulla chain di input (che è comunque sconsigliato) , potresti creare una regola, con input iface la wan, action accept, LOG...... poi la abiliti prima di pingare/connetterti in ssh/ connettere la vpn dal client remoto, dovrebbe aiutare a vedere cosa arriva e da dove...
ciao

[DaniloFailli]

Ciao Red, grazie del supporto.
Risolto tutto, c'era un problema sulle configurazioni di router e open port.

Ora tutto è ok.

Se posso, ultima domanda:

Dalle sedi remote ho necessità di inserire i PC a dominio, il DC (DNS server) si trova in una delle sedi con VPN. Basta impostare il DNS 2 che punti all'IP del DC?

Grazie ancora.

P.S. Ho altre domande di siurezza sul firewall, quelle le vado a mettere nel posto giusto