www.zeroshell.net

[jigen22]

Salve a tutti, innazitutto le mie congratulazioni per questa magnifica distribuzione. Vengo subito al dunque, ho creato tra due sedi distaccate con due macchine zeroshell, una connessione VPN lan to lan, seguendo passo x passo le istruzioni riportate sulla guida redatta da Cristian. Per il collegamento vpn nessun problema, ma quando pingo gli indirizzi delle due reti riesco a farlo solo delle rispettive ETH00 e non degli indirizzi confinanti. Ho anche aggiunto le relative route statiche per indirizzare il traffico nelle vpn00, ma niente. Qualche idea? Grazie per l'attenzione. Ciao

[cristian.colombini]

ciao jigen22,
teoricamente la vpn mette in comunicazione le due reti trusted...quindi non trusted ed external...
ti posso chiedere quale sia la tua reale esigenza?
penso si possa risolvere diversamente..senza usare il tunnel puoi scrivere delle regole molto ristrettive fra gli ip delle due sedi...no?
ciao
_________________
Cristian

[jigen22]

Ciao, le mie esigenze sono di collegare due sedi distaccate, diciamo sedaA e sedeB, in sedeA è presente un server DC e un terminal server, in questo momento per l'autenticazione uso due router netgear fvs338 in vpn, l'unico inconveniente è che alcuni indirizzi sulla vpn(netgear) non sono raggiungibili e quindi sono integrati da due router cisco ISDN che fanno funzionare il servizio terminale. Con la scoperta di zeroshell volevo eliminare i router netgear e cisco ed unificare il tutto. Spero di essere stato abbastanza chiaro, sono sei mesi che ci giro attorno, e non riesco a venirne a capo. Help!!! Grazie

[cristian.colombini]

perdonami..ho letto più volte ilpost ma non ho capito...sono un po' duro...
allora...
ho capito che hai due sedi già collegate in vpn: sedeA --->netgearA fvs338<-->netgearB fvs338<---SedeB

ma scusa che linea hai? è internet con ip pubblici statici? le reti della sedeA e B sono solo 2 giusto? non ci sono sottoreti?
fra sedeA --->netgearA fvs338 hai i server?
perdonami..prova a farmi un disegnino...ciao
_________________
Cristian

[jigen22]

Scusami tu, dunque partiamo dall'inizio, originariamente queste sedi erano collegate da due router cisco ISDN per un controllo terminal server e per la mappatura di alcuni dischi. Adesso, avendo anche aggiunto un dc nella sedeA la linea isdn non è più sufficente, (premesso che le sedi hanno ip statici) il primo passo è stato aggiungere il netgear in entrambe le sedi e configurarlo in vpn, e qui è nato il primo problema, ( le classi delle reti sono cosi configurate: sedeA 10.xx.xxx.192/26 sedeB 10.xy.xxx.192/2 non potendo modificare alcuni indirizzi nella sedeA perche non di proprità mia devo adattarmi, e per la precisione:
sedeA
Server TS 10.xx.xxx.193
altri router 10.xx.xxx.194-195
Server DC 10.xx.xxx.199
netgear LAN 10.xx.xxx.196
host 10.xx.xxx.201->230

sedeB
netgear LAN 10.xy.xxx.196
host 10.xy.xxx.201->206

Se da sedeB con utility router netgear pingo il 193 non me lo pinga, mentre gli indirizzi dal 196 in su tutto ok, quindi in questo momento il router netgear fa dal 196 in su, e il cisco isdn fa andare il collegamento server ts.
In conclusione visto che netgear non fornisce assistenza su problematiche legate alle reti vpn volevo liberarmene e rimpiazzarlo con due macchine zeroshell. Ho provato da casa a fare una connessione host to lan verso la sedeA e tutto funzionava alla perfezione, quindi mi aspettavo la stessa cosa con una lan to lan. Spero di essere stato più chiaro, rimango in attesa, sempre gentilissimo. Ciao

[cristian.colombini]

ciao jigen22
mi scrivi che la rete in sede A è:
10.xx.xxx.192/26

quindi una rete dove il primo ip utile è 10.xx.xxx.1/26 e l'ultimo ip utile è 10.xx.xxx.62/26( il broadcast è 10.xx.xxx.63/26 ). Come è possibile che tu abbia delle macchine con ip tipo:

Server TS 10.xx.xxx.193
altri router 10.xx.xxx.194-195
Server DC 10.xx.xxx.199
netgear LAN 10.xx.xxx.196
host 10.xx.xxx.201->230

????



sei sicuro di avere la subnet mask impostata correttamente???
Tutto ciò che mi scrivi avrebbe sicuramente più senso se la subnet mask fosse a 24 bit e non a 26...
( se fosse come dici tu gli host, i server ed i router apparterrebbero a reti diverse...no??)
penso che lo stesso valga per la rete B...

????

secondo me se tu avessi le due reti con subnet /24 non avresti nessun problema...
forse ho capito ancora male..possibile?
a presto
ciao
_________________
Cristian

[cristian.colombini]

scusa...forse ho capito!! ding dong mi sono suonate le campane in testa stasera hihihi...

effettivamente è giusto:

in sedeA hai il primo ip utile:

10.xx.xxx.193 che è il server ts
scusa...

Tu hai provato quindi:


10.xx.xxx.192/26 -----> Zeroshell <---LINEA---> Zeroshell <--- 10.xy.xxx.192/26

giusto?
secondo me se anzichè provare a fare un ping provi a fare un po' di tracert riesci a capire meglio come sono tutti gli instaradamenti (attraverso magari gli altri router o routes statiche impostate sui sistemi operati)....

Ricordati di aggiornare eventualmente le routes statiche presenti sulle macchine...verifica i default gateway ed i costi degli instaradamenti...penso sia l'unica cosa da fare.

Del resto mi confermi che la vpn sale...giusto?
non è che forse per il tunnel VPN hai usato una rete di ip già scritta in qualche vecchia route statica da qualche parte?

Insisto su queste cose perchè se gli host che probabilmente hanno come default gateway lo zeroshell rispondono, macchine instradatrici come router vari che non rispondono e server potrebbero avere altre routes statiche impostate...o forse hai attivo il RIP sui router???

a presto ciao
_________________
Cristian

[jigen22]

Ciao, si ti confermo che la vpn sale, siccome in questo momento le sedi sono operative devo purtroppo fare un passo alla volta, e garantire sempre il funzionamento. In questo momento quindi avendo a disposizione piu di un indirizzo ip statico ho messo in ogni sede una macchina zeroshell, e configurate cosi:
sedeA
ETH00 10.xx.xxx.200
ETH01 IP PUBBLICO
VPN00 10.0.0.1

sedeB
ETH00 10.xy.xxx.200
ETH01 IP PUBBLICO
VPN00 10.0.0.2

Setto una routes statica:
sedeA
destnazione 10.xy.xxx.192 mask 255.255.255.192 interfaccia VPN00 metrica 0

sedeB
destnazione 10.xx.xxx.192 mask 255.255.255.192 interfaccia VPN00 metrica 0
Quando uso in entrambe le macchine l'IPCHECK riesce solo il ping sulle ETH00 (10.xx.xxx.200 sedeB > sedeA e 10.xy.xxx.200 sedeA > sedeB) con tutti gli altri indirizzi si ferma all'indirizzo della VPN00 locale.
Spero di essere stato abbastanza chiaro. Ciao, grazie.

[cristian.colombini]

si chiaro...
hai verificato che la VPN00 a livello di NAT sia insieme alle ETH01?

teoricamente, inoltre, a livello di Zeroshell non avresti bisogno di scrivere le routes statiche verso la rete remota di una vpn...si compilano automaticamente...

ciao
_________________
Cristian

[cristian.colombini]

dimenticavo...gli host per risponderti al ping devono avere come gateway il tuo zeroshell....altrimenti le loro risposte vanno verso il loro gateway predefinito....( se questo gw è un router, devi scriverci dentro la route statica verso la rete remota tramite zeroshell ed anche la rete usata per la vpn tramite lo zeroshell)...

consiglio:
prendi 2 pc, uno per sede, e configurali con i gateway giusti ( i 2 zeroshell) ...poi prova a pingarli...fammi sapere...ciao
_________________
Cristian

[jigen22]

Eccomi qua, scusa ma ho testato un po di cose in questo week-end, e sono arrivato finalmente ad una conclusione. Seguendo le indicazioni del post di fabio78 che indicavano la possibilità di fare un bridge sulle schede eth0 e vpn0 su due sedi diverse mantenendo la stessa subnet, così ho fatto e devo dire che funziona tutto alla perfezione. Anche perchè considerando il tuo ultimo consiglio, ( gli host per risponderti al ping devono avere come gateway il tuo zeroshell) io sul server terminal non posso intervenire, e quindi non posso modificare il suo default getaway che ovviamente fa riferimento ad un router non mio. Ora mi rimangono ancora un paio di dubbi, colgo l'occasione per chiedere info, collegandosi da remoto sulla eth01 (internet) noto sulla sinistra la possibilità di guardare i certificati e di scaricarseli, vuol dire che chiunque una volta scoperto l'ip puo scaricare i miei certificati e magari collegarsi in vpn?
Secondo quesito, mi sembra di aver capito che se non imposto nessuna regola di forward il firewall non lascia entrare niente eth01>eth00, quindi ne deduco che le connessioni vpn00 e bridge00 siano esenti da queste regole, o sbaglio. Grazie mille per l'attenzione dimostratami fino qui, ciao.

[fulvio]