Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

NAT sulle VPN (ZS 1.0b13)

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
picov



Registrato: 16/09/10 09:01
Messaggi: 37

MessaggioInviato: Gio Set 16, 2010 3:56 pm    Oggetto: NAT sulle VPN (ZS 1.0b13) Rispondi citando

Salve,
nella documentazione reperibile dal sito di ZS, ho notato che per quanto riguarda l'abilitazione del NAT sulle VPN (o sui loro BOND) alcuni tralasciano l'impostazione del NAT mentre altri consigliano di abilitarlo a prescindere.
Per chiarire la situazione ho fatto alcuni test in proposito e vorrei condividerne i risultati:

La situazione è questa (quella classica):
Sito A:
IP ZS ETH00 (LAN): 10.10.10.1 , rete 10.10.10.0/24
BOND00: 10.10.20.1 (costituito da 2 VPN)
Route statica: 10.10.11.x -> 10.10.20.2

Sito B:
IP ZS ETH00 (LAN): 10.10.11.1 , rete 10.10.11.0/24
BOND00: 10.10.20.2 (costituito da 2 VPN)
Route statica: 10.10.10.x -> 10.10.20.1

La cosa che spero qualche esperto possa chiarire è come mai nell'impostazione del NAT sulle VPN "sembra" che si debba ragionare al contrario. Cerco di spiegarmi meglio:
Ho verificato che se ad es. si abilita il NAT SOLO sull'interfaccia BOND00 del sito A si ottiene che una connessione che si origina da una macchina di A verso una di B esce dallo ZS in B mascherata con l'indirizzo 10.10.11.1 (quello della LAN di di ZS in B), quindi arriva alla macchina di destinazione in B come proveniente da un IP della propria subnet.
La mia perplessità è su come faccia iptables dello ZS di A (che nell'esempio è l'unico su cui è abilitato il NAT) a mascherare la connessione che esce dallo ZS in B usando addirittura l'indirizzo 10.10.11.1 che è quello della LAN di ZS in B?
Non ci si aspetterebbe il contrario? (e cioè che iptables dello ZS di A possa occuparsi solo di mascherare le connessioni provenienti da B e che escono dal suo BOND00 verso la sua LAN usando solo il proprio IP LAN e cioè il 10.10.10.1?

Grazie e saluti.


L'ultima modifica di picov il Dom Set 26, 2010 8:38 am, modificato 1 volta
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Sab Set 25, 2010 8:49 pm    Oggetto: Rispondi citando

Mi sono perso sulle parole a esser sincero =P

Ma se ho capito bene, ragioni al contrario di come funziona il sistema.

Ovvero, tu devi calcolare che abilitando il NAT su VPN00 sullo ZSA, tutti i pacchetti provenienti dalla lan e che attraverseranno VPN00 con destinazione ZSB, saranno nattati, e quindi raggiungeranno l'altro capo della rete uscendo con l'IP VPN di ZS-A.

Ovviamente, i pc di ZS-B NON potranno contattare gli IP di lan dietro VPN00 di ZS-A in quanto interfaccia nattata.

Facendo un esempio pratico, se tu natti ETH00 appartenente al provider ADSL1, uno da internet anche se indirizza i pacchetti diretti alla tua LAN (10.1.2.3) verso il tuo ZS (facendo l'ipotesi che si potesse inserire una route statica verso il tuo IP WAN) non potrebbe mai raggiungere l'ip in questione, in quanto la tua interfaccia nattata ed accetta SOLO i pacchetti verso se stesso.. e fa passare i pacchetti verso la Lan solo se sono state inserite apposite regole.

Quindi, almeno che tu non abbia particolari necessità e quindi ti serva isolare la VPN dell'altra sede.. basta solo tirare su le due vpn ed insirire le route statiche delle 2 lan.

Ad esempio:
Sede A - LAN Subnet 10.0.1.0/24 - VPN00 IP: 10.255.255.1/24
Sede B - LAN Subnet 10.0.2.0/24 - VPN00 IP: 10.255.255.2/24

Sede A - Routing:
10.0.2.0/24 via 10.255.255.2

Sede B - Routing:
10.0.1.0/24 via 10.255.255.1

Et voilà da questo momento, le due sedi sono raggiungibili tranquillamente tramite routing.

Keep it simple and stupid Razz

Una cosa che ho sempre amato di ZS ma a parte test di laboratorio, non ho potuto ancora mettere in produzione.. è la possibilità di estendere tramite VPN il segmento di rete senza dover utilizzare affatto routing, ma semplicemente mettendo in bridge le interfacce... cosicchè tutta la rete pensa di essere in locale... ed invece geograficamente dislocata.
Top
Profilo Invia messaggio privato
picov



Registrato: 16/09/10 09:01
Messaggi: 37

MessaggioInviato: Dom Set 26, 2010 12:34 am    Oggetto: Rispondi citando

Ho semplificato il primo post evitando il discorso del default gateway, quindi adesso siamo nella situazione più semplice possibile.

ufoonline ha scritto:

Ovvero, tu devi calcolare che abilitando il NAT su VPN00 sullo ZSA, tutti i pacchetti provenienti dalla lan e che attraverseranno VPN00 con destinazione ZSB, saranno nattati, e quindi raggiungeranno l'altro capo della rete uscendo con l'IP VPN di ZS-A.


Quello che dici tu sul funzionamento del NAT è esattamente quello che pensavo anch'io fino a quando non ho fatto i test.
Ti confermo invece che usando IPtraf sulle varie macchine coinvolte vedo quello che ho descritto nel post: se attivo il NAT sulla VPN solo su ZS-A, le connessioni da A->B arrivano ad una macchina di B come se provenissero dall'IP LAN di ZS-B (ma il nat è abilitato solo su ZS-A?).

La domanda quindi rimane: come fa iptables dello ZS di A (che nell'esempio è l'unico su cui è abilitato il NAT) a mascherare la connessione che esce dallo ZS in B usando addirittura l'indirizzo 10.10.11.1 che è quello della LAN di ZS in B?
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Dom Set 26, 2010 9:15 am    Oggetto: Rispondi citando

mi pare strano quello che mi dici o.o
Sinceramente non sò risponderti.. ma da tcpdump cosa vedi ?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it