Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Configurazione VPN H2L

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
cisif



Registrato: 17/05/08 15:32
Messaggi: 20

MessaggioInviato: Sab Mag 24, 2008 6:50 pm    Oggetto: Configurazione VPN H2L Rispondi citando

Salve a tutti. Ho questo problema: in ingresso alla mia LAN (512 numeri pubblici e statici) ho uno ZS in modalità Bridge + Captive portal e firewall.
Poichè molti servizi in Università sono legati all'IP pubblico, dovrei far sì che all'utente a casa che arriva sulla mia LAN con un IP pubblico rilasciato dal gestore Adsl venga assegnato un IP pubblico della mia LAN. Pensavo di farlo con una OpenVPN, ma ho dei problemi.
Seguendo i preziosi consigli sul forum, ho abilitato la OpenVPN e dal client mi collego allo ZS ed ottengo pure l'IP, ma questo è privato (192.168.250.x). Inoltre non riesco più a navigare.
Il mio intento era invece quello di far assegnare al client di casa un IP (libero o comunque precedentemente fissato) della mia sottorete in modo da farmi vedere all'esterno con l'IP pubblico 131.114.x.x e beneficiare dei servizi relativi.
Se però provo ad impostare il range di lavoro della VPN su un range di IP della mia sottorete, lo ZS si pianta e devo resettare il tutto attivando una copia del DB fatta prima dell'attivazione della VPN.
Dove sto sbagliando?
In teoria sembra semplice: creo una VPN, accedo a ZS, mi faccio assegnare un IP pubblico della mia LAN, navigo facendo credere di avere effettivamente quell'IP.
Forse mi sto perdendo in un bicchier d'acqua....
Andrea
Top
Profilo Invia messaggio privato Invia e-mail
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Lun Mag 26, 2008 9:30 am    Oggetto: Rispondi citando

probabilmente ti dice che va in conflitto perchè quella subnet è già assegnata, tu devi far assegnare al pc client (di casa) un ip che scegli te e poi devi settare le regole del firewall per far si ch la subnet "Vpn" possa navigare sulla rete interna
Top
Profilo Invia messaggio privato
cisif



Registrato: 17/05/08 15:32
Messaggi: 20

MessaggioInviato: Lun Mag 26, 2008 11:24 am    Oggetto: Rispondi citando

In teoria è quello che vorrei fare.
La limitazione è che l'IP da assegnare al client di casa vorrei fosse un IP (magari lo stesso di ZS) della sottorete già assegnata.
Rigiro il problema:
la VPN funziona ed assegna l'IP privato 192.168.250.50 al client a casa.
Invece di quell'IP, vorrei però far assegnare a quel client un IP pubblico della mia sottorete, magari anche lo stesso per n client connessi (oppure uno diverso per ciascun client)...
come potrei fare?

grazie ancora

Andrea
Top
Profilo Invia messaggio privato Invia e-mail
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Lun Mag 26, 2008 11:47 am    Oggetto: Rispondi citando

ok, dimmi se è corretto: la subnet dell'ip che viene assengato al client da casa (192.168.250.50) è una subnet che NON è presente sulle altre interfacce?

se si, allora ècorretto così e non puoi far assegnare a ZS la subnet già presente in eth0x

se invece quella subnet è già presente da qualche altra parte....allora non ho ben chiaro lo scenario
Top
Profilo Invia messaggio privato
cisif



Registrato: 17/05/08 15:32
Messaggi: 20

MessaggioInviato: Lun Mag 26, 2008 2:17 pm    Oggetto: Rispondi citando

mi sa che mi sono spiegato male.
il captive portal mi sta (in bridged mode) tra un router del mio ISP e la mia rete pubblica (512 indirizzi pubblici) e la eth0 va verso ISP e la eth1 verso la mia LAN.
Poichè alcuni utenti da casa (con ADSL varie) per poter accedere ai servizi della LAN devono possedere IP interni alla mia LAN, con OpenVPN volevo far ottenere ai client a casa un IP pubblico della mia LAN (uno dei 512 e non un indirizzo privato come invece accade ora).
Probabilmente basta una regola sul firewall o sul router ma non so come impostarla.
Con un esempio è più semplice: supponiamo che la mia rete sia la 150.150.86.0/23 con gateway 150.150.87.8 e DNS 150.150.87.1
Quando accedo da casa, dovrei poter ottenere sul client un IP tipo: 150.150.86.x oppure 150.150.87.x, con stesso GW e DNS della LAN invece dell'IP privato: 192.168.250.50.
Si può fare in modo semplice?
Grazie

Andrea
Top
Profilo Invia messaggio privato Invia e-mail
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Lun Mag 26, 2008 3:09 pm    Oggetto: Rispondi citando

ecco...non ti eri spiegato male, avevo capito giusto...no...non puoi perchè se tu vai a tentare di configurare un ip della subnet 150.150.86.x sull'interfaccia vpn99 (quella che si occupa di gestire i client roadwarrior) zeroshell ti dirà che tale subnet va in conflitto (overlaps) con una subnet già impostata (quella della eth0x)
per far si che tu possa comunque navigare sulla 150.150.86.x anche se possiedi un ip 192.168.0.x devi mettere le regole di forwarding tra le due interfacce (eth0x e vpn99)
Top
Profilo Invia messaggio privato
atavachron



Registrato: 24/03/07 13:30
Messaggi: 61
Residenza: Catania

MessaggioInviato: Lun Mag 26, 2008 5:55 pm    Oggetto: Rispondi citando

Non ne sono sicuro... ma credo che si possa fare.... (non c'entra zero shell.. si tratta solo di instradamento)

Dovresti "spezzetare" la tua classe di ip pubblici in sottoreti differenti... ed assegnare solo quelli che vuoi cedere ai tuoi utenti con un route alla vpn99.

Supponiamo che tu abbia una rete composta da 255 IP /24, la spezzetti in 8 reti di 32 IP /27, ed assegni solo il range che ti interessa alla VPN99.

Cosi... "credo" l'instradamento dovrebbe essere corretto.

Fatti pure questa prova.... se già non l'hai effettuata..
Top
Profilo Invia messaggio privato
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Mar Mag 27, 2008 9:39 am    Oggetto: Rispondi citando

in questo modo si, potrebbe funzionare perchè se correttamente configurato tramite le subnet mask oppotune, ZS vedrà gli stessi indirizzi ip come molteplici subnet diverse tra loro... bisogna che però ci studi sopra per poi far raggiungere per bene tutti gli host e configuri accuratamente il firewall...insomma...un bel pò da fare immagino
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it