Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

[Risolto] Richieste DHCP + Bridge VPN

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
ingegnere



Registrato: 22/06/08 01:26
Messaggi: 5

MessaggioInviato: Dom Giu 22, 2008 1:46 am    Oggetto: [Risolto] Richieste DHCP + Bridge VPN Rispondi citando

Salve a tutti, mi chiamo Claudio e sono un nuovo utente di questo forum anche se è già un pezzo che mi avvalgo di ZEROSHELL per la mia rete. Da poco ho migrato i miei server zeroshell su piattaforme ALIX e nell'occasione ho deciso di instaurare un collegamento VPN lan-to-lan tra due sedi. Seguendo la guida di Cristian e le dritte di Fulvio sugli altri post sono riuscito ad instaurare il tunnel virtuale e ho scelto di realizzarlo mettendo le interfacce ETH00 e VPN00 di entrambi gli ZS in Bridge. Tutto va a meraviglia ad esclusione del servizio DHCP. Essendo due sedi distaccate è necessario, per garantire la continuità dei servizi durante una interruzione dell' ADSL, la presenza di 2 server DHCP che sono appunto i due ZS. Uno per ogni sede.
Il problema che non riesco a risolvere è il blocco dei pacchetti DHCP sul canale VPN. In un altro post ho letto che Fulvio consiglia ad un utente di bloccare i pacchetti in ingresso dal VPN e destinazione porta 67.
Questo mi sembra logico e inserendo una regola di DROP nella chain INPUT di entrambi gli ZS i pacchetti generati dal DHCP Client dovrebbero essere bloccati.

DROP udp opt -- in * out * 0.0.0.0 -> 255.255.255.255 PHYSDEV match --physdev-in VPN00 udp spt:68 dpt:67

Purtroppo questo non succede e quindi si verifica continuamente che un PC nella lan A acquisisce un ip rilasciato dal DHCP di lan B e il relativo gateway. Questo piccolo inconveniente non fà altro che generare un inutile traffico nel canale VPN perchè qualsiasi richiesta verso internet della lan A attraversa prima il canale VPN e poi esce dal gateway della lan B.

Probabilmente non ho capito come impostare il firewall.

Vi prego aiutatemi che stò uscendo di testa. Sad Sad

P.S. ho provato a non fare i bridge ma una VPN semplice, ma aggiungendo le route statiche opportune riesco solamente a vedere lo ZS della lan opposta mentre tutti i PC interni non vengono ne visti ne pingati.
In questo caso il DHCP non passa ma purtroppo non vedo i PC


L'ultima modifica di ingegnere il Lun Giu 23, 2008 12:48 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Lun Giu 23, 2008 11:40 am    Oggetto: Rispondi citando

hai provato a bloccare il protocollo del dhcp invece che le porte che usa? per far ciò dovresti mettere una regola di DROP che agisca con i layer7 scegliendo il protocollo dhcp dal menu a discesa nella maschera delle impostazioni del firewall
Top
Profilo Invia messaggio privato
ingegnere



Registrato: 22/06/08 01:26
Messaggi: 5

MessaggioInviato: Lun Giu 23, 2008 12:46 pm    Oggetto: Rispondi citando

grazie ARGAAR per la risposta...

si ci ho provato ad usare il layer 7 per il filtraggio ma il problema persiste.
Il problema persiste però per un alto motivo:

Nelle varie prove che ho fatto ho trovato la soluzione bloccando i pacchetti sulla porta 67 invece che in ingresso allo ZS 2 in uscita dallo ZS 1.
Mi spiego meglio con uno schema:

LAN1-----ZS1----router/modem1-------INTERNET-----Router/modem2-----ZS2-----LAN2

e il VPN relativo

LAN1-----ZS1----VPN-----ZS2-----LAN2

Inizialmente io volevo bloccare i pacchetti dhcp provenienti da lan1 con un drop su ZS2 nella catena INPUT. In questo modo i pacchetti DHCP attraversavano ZS1, poi il canale VPN e poi ZS2 li doveva bloccare. (non funziona)

Adesso invece blocco i pacchetti dhcp provenienti da lan1 subito nello ZS1 e diretti verso VPN qundi ho inserito una regola di DROP nella catena di FORWARD nel ZS1 (e per il problema opposto LAN2--->LAN1 anche in ZS2). Il risultato è che funziona perfettamente!!!!

Penso quindi che la catena di INPUT che filtra il traffico verso i processi locali di Zeroshell non blocca i pacchetti DHCP semplicemente perchè il server DHCP non è un processo locale di Zeroshell.

Fulvio se sbaglio ti prego di corregermi....
Confused

Spero che questa soluzione possa aiutare altri utenti che come me hanno avuto questo problema.

P.S. Fulvio hai fatto un lavoro eccezionale con questo software, i migliori complimenti, solo grazie a persone come te noi semplici utenti possiamo accedere a soluzioni altrimenti impossibili! (Sia tecnicamente che economicamente). Il progresso è vero solo quando è accessibile a tutti.
Top
Profilo Invia messaggio privato
artu98



Registrato: 26/09/07 10:24
Messaggi: 46

MessaggioInviato: Mar Dic 16, 2008 2:29 pm    Oggetto: re dhcp Rispondi citando

scusami ingegnere, ma per risolvere il problema hai dovuto bloccare solo la porta 67 in forward oppure anche la 68 .
potresti cortesemente mandarmi il log della foward ?

anche devo bloccare il dhcp sulla vpn in quanto ho due server di dominio con attivo il dhcp.
facendo questo sei sicuro che i 2 dhcp non vadano in conflitto?

grazie ancora
Top
Profilo Invia messaggio privato
ingegnere



Registrato: 22/06/08 01:26
Messaggi: 5

MessaggioInviato: Mar Dic 16, 2008 2:52 pm    Oggetto: Rispondi citando

Queste sono le uniche regole che ho inserito in entrambi i miei ZS.
Per l'altro tuo dubbio circa il reciproco disturbo dei dhcp server ti posso dire che non hanno alcun problema semplicemente perchè non si vedono tra loro (parlo della porta 67) e quindi le richieste della lan A non riescono ad arrivare alla lan B.
Io ho demandato agli ZS il compito di dhcp server (ognuno la propria lan) impostando semplicemente il server dhcp sul bridge00 su entrambi.
Chiaramente devi fare attenzione a far assegnare ai computer indirizzi diversi.
Nella lan A ad esempio il dhcp server debe avere inizio 192.168.0.20 e fine 192.168.0.60 mentre quello della lan B deve avere inizio 192.168.0.61 e fine 192.168.0.100. In questo modo non vengono duplicati gli ip assegnati.



1 ETH00 VPN00 DROP tcp opt -- in * out * 0.0.0.0 -> 255.255.255.255 PHYSDEV match --physdev-in ETH00 --physdev-out VPN00 tcp dpt:67


2 ETH00 VPN00 DROP udp opt -- in * out * 0.0.0.0 -> 255.255.255.255 PHYSDEV match --physdev-in ETH00 --physdev-out VPN00 udp dpt:67
Top
Profilo Invia messaggio privato
artu98



Registrato: 26/09/07 10:24
Messaggi: 46

MessaggioInviato: Mar Apr 28, 2009 4:35 pm    Oggetto: info su abilitazione porta 67 Rispondi citando

scusami ingegnere, non riesco a bloccare la porta 67 sui due zs in quanto non riesco a riprodurre il log che mi hai mandato.
volevo chiederti se cortesemente puoi dirmi a livello shell cosa hai impostato ?
io ho inserito questi valori:
CHAI FORWARD --
APPLY TO = ROUTED AND BRIDGED PACKET
INPUT = ETH00
OUTPUT = VPN00
SOURCE IP = VUOTO
DESTINATION IP = 255.255.255.255
PROTOCOL MATCHING =TCP
DEST.PORT =67
ACTION =DROP

si deve inserire/spuntare qualcosaltro ?
saresti cosi gentile da spedirmi la configurazione della shell magari fotografando l'immagine?

grazie ancora
francesco
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it