Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN host to lan AIUTO!!!!

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Lun Apr 05, 2010 2:49 pm    Oggetto: VPN host to lan AIUTO!!!! Rispondi citando

Salve,
ho configurato ZS per creare una VPN in modo da conenttermi da remoto alla rete locale di cui fa parte ZS.

Il mio ZS ha due schede di rete:
Eth0: 10.0.0.x connessa alla rete lan e al router ADSL
Eth1: 192.168.1.x per access point WLAN

alla VPN99 ho associato l' indirizzo 10.0.10.251

Ho seguito tutti i passi descritti nella documentazione
riesco a connettermi da remoto, ad acquisire un indirizzo IP nel range configurato (10.0.10.200) ed il gateway assegnato e corretto 10.0.10.251 riesco addirittura a pingare i pc appartenenti all LAN (10.0.0.x), ma non riesco a vederli: cioè non riesco ad esplorare la rete con il browser e ad esempio accedere alle cartelle condivise. (nella command line ho messo --client-to-client!).
Forse devo impostare qualche regola nel firewall di ZS?

Vi ringrazio

Daniele72
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Apr 05, 2010 7:34 pm    Oggetto: Rispondi citando

Si, se hai messo nel firewall le default policy a "DROP" (consigliato) devi creare esplicitamente le regole per fare in modo che il router inoltri correttamente i pacchetti.
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mar Apr 06, 2010 9:47 am    Oggetto: Rispondi citando

Se riesci a pingare le macchine dietro ZS, con il firewall dovresti essere a posto. Secondo me il problema è rappresentato dal fatto che con la VPN ottenuta in routing, il traffico broadcasting non passa e quindi il protocollo SMB non funziona. Per risolvere hai 2 possibilità: la prima è quella di mettere in bridge VPN99 con ETH00. La seconda è quella di specificare il server WINS nella macchine che si connettono in VPN.

Ciao
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Mar Apr 06, 2010 11:10 am    Oggetto: Rispondi citando

Si riesco a pingare le macchine che stanno dietro a ZS ma non il viceversa, ovvero da una macchina dietro ZS non pingo un PC connesso in VPN ala lan.

Ieri ero arrivato alla conclusione di dover metere in bridge le due schede ETH0 e VPN99 ma appena l' ho fatto ZS ha smesso di funzionare.
Non riuscivo ad accedere più alla pagina web di ZS (a cui accedo via ETH0) inolte non funzioanva nemmeno il resto: Proxy, captive portal.
Sono dovuto entrare da shell impostare il profilo fail safe ed eliminare il bridge.

Non so perchè è successo questo!?

Mi suggerisci d' impostare il server WINS sulle macchine che accedono,
ma qule server e soprattutto la configurazione della macchina in VPN è automatica alla connessione (indirisso IP, gateway ecc) questa impostazione del WINS può essere automatica o solo statica?

Grazie
Daniele72
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Mar Apr 06, 2010 11:42 am    Oggetto: Rispondi citando

daniele72 ha scritto:
Si riesco a pingare le macchine che stanno dietro a ZS ma non il viceversa, ovvero da una macchina dietro ZS non pingo un PC connesso in VPN ala lan.

Ieri ero arrivato alla conclusione di dover metere in bridge le due schede ETH0 e VPN99 ma appena l' ho fatto ZS ha smesso di funzionare.
Non riuscivo ad accedere più alla pagina web di ZS (a cui accedo via ETH0) inolte non funzioanva nemmeno il resto: Proxy, captive portal.
Sono dovuto entrare da shell impostare il profilo fail safe ed eliminare il bridge.

Non so perchè è successo questo!?

Mi suggerisci d' impostare il server WINS sulle macchine che accedono,
ma qule server e soprattutto la configurazione della macchina in VPN è automatica alla connessione (indirisso IP, gateway ecc) questa impostazione del WINS può essere automatica o solo statica?

Grazie
Daniele72


Non e' che per cavo puoi/vuoi inviarci un layout della tua rete ? indirizzi IP, impostazioni, log, tabella di routing di una macchina dietro ZS, e di una dall'altra parte .... ecc ecc ....
Top
Profilo Invia messaggio privato Invia e-mail
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Mar Apr 06, 2010 1:09 pm    Oggetto: Rispondi citando

Provo a darne descrizione:

[LAN&modem router](eth0:10.0.0.251)-ZS-(eth1:192.168.1.251)[WLAN AP]

Ho configurato una macchina ZS con due schede di rete una eth1 (vedi sopra) connessa ad una rete con Access point (WLAN), e l' altra scheda di rete (eth0) connesssa alla LAN e al modem ADSL.
In ZS ho attivato le funzioni di proxy HTTP, captive portal, server DHCP e NAT per concedere l' accesso ad internet ad utenti wireless connessi agli access point (mediante usr e psw). Tra le due schede ho abilitato la funzione di routing e messo sul firewall la sola regola di DROP del traffico da Eth1 verso Eth0 con indirizzi appartenenti alla rete LAN interna: in tal modo evito che i clienti WLAN " vedano" i PC della LAN.

A questo punto volevo abilitare la funzione di VPN.
Ho impostato tutto esattamente come dice l' ottimo how-to cambiando il solo indirizzo di default in 10.0.10.251 e ovviamente nell' impostazione della VPN (gateway e DNS messo questo indirizzo) ho abiliitato in NAT e messo la regola nella command line:--client-to-clinet per far vedere tra loro i PC della LAN e quelli della VPN.

Ho cofigurato l' accesso alla VPN con psw e certificato CA, con Open VPN GUI. Il risultato è che il pc remoto si connette alla VPN, gli viene assegnato un IP appartenente alla rete corretta: 10.0.10.xx ed il gateway corretto 10.0.10.251, infatti riesco a pingare tutti i pc della LAN, ma non riesco a vederli come client windows cioè come risorse di rete. altra info se può servire è che dalla rete interna non riesco a pingare il pc remoto.

Cosa manca nella mia configurazioen????
Grazie
daniele72
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Mar Apr 06, 2010 3:23 pm    Oggetto: Rispondi citando

daniele72 ha scritto:
Provo a darne descrizione:

[LAN&modem router](eth0:10.0.0.251)-ZS-(eth1:192.168.1.251)[WLAN AP]

Ho configurato una macchina ZS con due schede di rete una eth1 (vedi sopra) connessa ad una rete con Access point (WLAN), e l' altra scheda di rete (eth0) connesssa alla LAN e al modem ADSL.
In ZS ho attivato le funzioni di proxy HTTP, captive portal, server DHCP e NAT per concedere l' accesso ad internet ad utenti wireless connessi agli access point (mediante usr e psw). Tra le due schede ho abilitato la funzione di routing e messo sul firewall la sola regola di DROP del traffico da Eth1 verso Eth0 con indirizzi appartenenti alla rete LAN interna: in tal modo evito che i clienti WLAN " vedano" i PC della LAN.


Qualcosa mi sfugge....
Nella rete ETH1 (192.168.1.0/24) hai solo un access point collegato, oppure hai delle macchine collegate su uno switch/hub, ed hai anche un access point colleagato ?
possiamo vedere la regola che hai aggiunto al firewall ?

daniele72 ha scritto:

A questo punto volevo abilitare la funzione di VPN.
Ho impostato tutto esattamente come dice l' ottimo how-to cambiando il solo indirizzo di default in 10.0.10.251 e ovviamente nell' impostazione della VPN (gateway e DNS messo questo indirizzo) ho abiliitato in NAT e messo la regola nella command line:--client-to-clinet per far vedere tra loro i PC della LAN e quelli della VPN.

Ho cofigurato l' accesso alla VPN con psw e certificato CA, con Open VPN GUI. Il risultato è che il pc remoto si connette alla VPN, gli viene assegnato un IP appartenente alla rete corretta: 10.0.10.xx ed il gateway corretto 10.0.10.251, infatti riesco a pingare tutti i pc della LAN, ma non riesco a vederli come client windows cioè come risorse di rete. altra info se può servire è che dalla rete interna non riesco a pingare il pc remoto.

Cosa manca nella mia configurazioen????
Grazie
daniele72


Se non vedi le macchine nelle risorse di rete, e' perche' il client connesso in VPN ha un indirizzo IP appartenente alla rete 10.0.10.0/24, mentre le altre macchine no. Quando invii richieste in broadcast, lo fai utilizzando l'indirizzo 10.0.10.255, e di conseguenza visualizzi solo le macchine che sono nella 10.0.10.0/24.
Se riesci a raggiungere le altre macchine con il ping, è perché hai una corretta tabella di routing che instrada il traffico (in questo caso con protocollo ICMP) verso la rete connessa tramite VPN. Se il contrario non ti riesce potrebbe dipendere da vari motivi... es. un firewall sulla macchina client, che blocca i ping... oppure quella bella regola di firewall che hai scritto .....
Inviaci anche una tabella di routing, ed un traceroute da una macchina della rete, verso l'host connesso in VPN....
Hai messo le interfacce VPN ed ETH1 in bridge ? Potresti fare una prova, disabilitando il nat dalle impostazioni della VPN ?
Top
Profilo Invia messaggio privato Invia e-mail
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mar Apr 06, 2010 4:47 pm    Oggetto: Rispondi citando

Citazione:
Si riesco a pingare le macchine che stanno dietro a ZS ma non il viceversa, ovvero da una macchina dietro ZS non pingo un PC connesso in VPN ala lan.


Dovresti anche riuscire a pingare le macchine in VPN dalla LAN, se vuoi che tutto funzioni correttamente. Ricontrolla le regole di firewall, quasi sicuramente il problema è lì. Come detto prima da Ndk, se le default policy sono a DROP, bisogna creare regole ad hoc per far passare i pacchetti desiderati.

Citazione:
Ieri ero arrivato alla conclusione di dover metere in bridge le due schede ETH0 e VPN99 ma appena l' ho fatto ZS ha smesso di funzionare.
Non riuscivo ad accedere più alla pagina web di ZS (a cui accedo via ETH0) inolte non funzioanva nemmeno il resto: Proxy, captive portal.
Sono dovuto entrare da shell impostare il profilo fail safe ed eliminare il bridge.

Non so perchè è successo questo!?


E' normale, tutte le regole valevano per ETH00 e non per BRIDGE00.......


Citazione:
Mi suggerisci d' impostare il server WINS sulle macchine che accedono,
ma qule server e soprattutto la configurazione della macchina in VPN è automatica alla connessione (indirisso IP, gateway ecc) questa impostazione del WINS può essere automatica o solo statica?


Per assegnare il WINS in DHCP puoi utilizzare la seguente opzione
in Command Line Parameters:

push "dhcp-option WINS IP_SERVER_WINS"

Come server WINS credo basti una macchina Windows della tua rete LAN.


Citazione:
ho abiliitato in NAT e messo la regola nella command line:--client-to-clinet per far vedere tra loro i PC della LAN e quelli della VPN.


http://www.zeroshell.net/openvpn-server/#OpenVPN-Router-Bridge

Ciao
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Mer Apr 07, 2010 9:09 am    Oggetto: Rispondi citando

Grazie per le risposte.

1. La regola che ho impostato nel firewall non riguarda la VPN. Come detto
Ho due schede di rete Eth0 e Eth1 su Eth1 ho (tramite un hub) connesso alcune hot spot per concedere l'accesso ad internet agli utenti Wireless.
La regola è di fare un DROP per il traffico proveniente dall ETH1 verso la Eth0 che abbia come destinatari i PC della LAN (interna) quindi abilito il solo traffico verso il router ADSL.

2. Altra cosa è la VPN a cui ho dato un indirizzo (10.0.10.251) e con la quale vorrei accedere da remoto ai pc della LAN interna (per intenderci connessi alla ETh0) con indirizzo 10.0.0.xx tramite routing e non bridge, quindi credo sia corretto che la scheda virtuale abbia un indirizzo appartenente ad una rete distinta.
Ora la domanda è sempre quella se vedo in ping i PC appartenenti alla rete lan (da VPN) perche non riesco a navigarli come client windows.
quale regola devo aggiungere nel firewall?

3. Altra domanda se volessi optare per l'opziopne ora scartata cioè di mettere in bridge le porte VPN99 e Eth0, l'indirizzo della scheda VPN99 deve appartenere alla stessa rete della Eth0: 10.0.0.yy?

4. Questo benedetto server WINS serve? A me non ha risolto il problema!
Top
Profilo Invia messaggio privato
daniele72



Registrato: 29/06/09 08:26
Messaggi: 25

MessaggioInviato: Gio Apr 08, 2010 7:56 am    Oggetto: Rispondi citando

C'è nessuno che ha qualche idea di come riosolvere il problema che ho sottoposto? Almeno rispondere alle domande del mio ultimo post.


Grazie

Daniele72
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it