Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Cambio Remote Host della VPN

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mar Mar 24, 2009 11:54 pm    Oggetto: Cambio Remote Host della VPN Rispondi citando

Salve, ho 2 sedi collegate in VPN Lan2Lan con certificato. Ogni sede possiede 2 link Internet, assegnati alle rispettive interfacce di rete:

sede A:
- ETH01 IP 1.2.3.4
- ETH02 IP 1.2.3.5

sede B:
-ETH01 IP 5.6.7.8
-ETH02 IP 5.6.7.9

La VPN attualmente viene instaurata, utilizzando come Remote Host della sede A (server) l'IP 5.6.7.8 della sede B mentre nella sede B (client) si sta utilizzando come Remote Host l'IP 1.2.3.4 della sede A. In questo modo la VPN funziona senza alcun problema.

Ora, vorrei trovare il modo di utilizzare i link ausiliari presenti nelle 2 sedi (quelli collegati alle interfacce ETH02) per ottenere la VPN e senza ricorrere al Net Balancer. Quindi, ho cambiato i Remote Host nella configurazione della VPN: inserendo l'IP 5.6.7.9 come Remote Host della sede A e l'IP 1.2.3.5 come Remote Host della sede B. Dopo aver salvato le nuove impostazioni, mi sono accorto che la VPN andava nuovamente su senza problemi, ma che i Remote Host utilizzati per il collegamento erano gli stessi di prima. Nei log della sede A, ho trovato quanto segue:

Mar 24 20:32:55 zeroshell VPN00_L2L[26807]: OpenVPN 2.0.9 i686-pc-linux [SSL] [LZO] [EPOLL] built on Sep 23 2008
Mar 24 20:32:55 zeroshell VPN00_L2L[26807]: LZO compression initialized
Mar 24 20:32:55 zeroshell VPN00_L2L[26807]: TUN/TAP device VPN00 opened
Mar 24 20:32:55 zeroshell VPN00_L2L[26808]: UDPv4 link local (bound): [undef]:1195
Mar 24 20:32:55 zeroshell VPN00_L2L[26808]: UDPv4 link remote: 5.6.7.9:1195
Mar 24 20:32:55 zeroshell VPN00_L2L: Interface VPN00 is DOWN
Mar 24 20:32:55 zeroshell VPN00_L2L[26808]: TLS Error: local/remote TLS keys are out of sync: 5.6.7.8:1195 [0]
Mar 24 20:32:56 zeroshell last message repeated 2 times
Mar 24 20:32:56 zeroshell VPN00_L2L[26808]: [zeroshell.example.com] Peer Connection Initiated with 5.6.7.8:1195
Mar 24 20:32:57 zeroshell VPN00_L2L[26808]: Initialization Sequence Completed
Mar 24 20:32:57 zeroshell VPN00_L2L: Interface VPN00 is UP

Sembra che ZS tenti la connessione VPN sull'IP 5.6.7.9, ma poi per qualche motivo a me non chiaro nel log, chiude la VPN e la riapre con successo verso il Remote Host 5.6.7.8.

Sembra un comportamento molto strano, l'unica "anomalia" che ho trovato, è che nel certificato sia dell'una che dell'altra sede, non vengono mostrati gli IP delle interfacce ETH02. Potrebbe essere questo il problema? Devo rigenerare il certificato? Comunque, perchè la VPN si collega con un Remote Host non più presente nella configurazione? Si può risolvere la questione utilizzando una VPN tramite PSK piuttosto che con i certificati?

Grazie in anticipo a chiunque possa fornirmi delucidazioni in merito.

Ciao
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Sab Mar 28, 2009 11:54 am    Oggetto: Rispondi citando

Ho provato anche la VPN PSK, ma le cose non cambiano. ZS mi cambia il Remote Host sulla seconda VPN, inserendo quello della prima VPN. E' normale?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Mar 29, 2009 3:47 pm    Oggetto: Rispondi citando

Non credo sia un problema delle VPN, ma del routing definoto sul lato server. Il net balancer dovrebbe aiutarti.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Dom Mar 29, 2009 6:55 pm    Oggetto: Rispondi citando

Secondo me c'è qualcosa sulla gestione delle VPN: il Remote Host non dovrebbe essere cambiato automaticamente; nel caso questo fosse irraggiungibile, la VPN dovrebbe restituire un semplice errore di collegamento. C'è un modo per forzare la connessione al Remote Host inserito nella configurazione della VPN?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Mar 29, 2009 8:49 pm    Oggetto: Rispondi citando

Il problema e' che stai facendo routing asimmetrico. Contatti il VPN server con un link, ma il ritorno avviene dall'altro.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mar Mar 31, 2009 6:53 pm    Oggetto: Rispondi citando

Ho provato anche ad impostare delle rotte su ogni sede, verso i Remote Host, in modo da passare per il gateway connesso alle rispettive ETH02.

Niente da fare, dopo qualche secondo il Remote Host viene cambiato e la VPN passa dove passava prima. Farò alcuni test per vedere se riesco con il Net Balancar.

Ciao e grazie.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it