Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Aiutate un principiante??
Vai a Precedente  1, 2, 3, 4  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Gio Feb 05, 2015 10:45 am    Oggetto: Rispondi citando

Prova cosi', per ora lasciamo perdere la rete tra ZS ed il router....
collegati a ZS dalla sua lan, elimini il pool dhcp della ETH00, vai in network, ETH00, edit ip, metti 192.168.8.1 255.2555.255.0, ti butta fuori, sul pc metti un ip fisso tipo 192.168.8.100, ti ricolleghi a ZS all'indirizzo 192.168.8.1, ricrei il pool dhcp per la rete 192.168.8.0 (in una rete classe C classful, tipo 192.168.1.0/24 ci sono 254 ip utilizzabili, da 1 a 254, il .0 è l'indirizzo di rete ed il .255 l'indirizzo di broadcast, e nessuno dei due è utilizzabile per gli hosts), eventualmente ricrei anche gli static binding ip mac (Static IP Entries). Il Def.Gw, DNS ed altro li lasci per ora come sono, hai solo cambiato l'idirizzo della lan di ZS.
In VPN00 - Tunnel Configuration - Paremeters
Codice:
--ifconfig 10.10.13.1 10.10.13.2 --cipher BF-CBC --push 'ifconfig 10.10.13.2 10.10.13.1' --push 'route 192.168.8.0 255.255.255.0 vpn_gateway'
Aggiunge la rotta per tutta la rete 192.168.8.0, via interfaccia VPN sul dispositivo.
Volendo.... crei un nuovo profilo ..optional, perche poi devi ricreare quasi tutta la configurazione, ma avresti il tuo domain-name, sia per i certificati che per il dns e gli hosts, example.com è quello di default, giusto per far funzionare ZS.... esempio con dominio di 2 livello pippo.lan
(ma potrebbe essere suricillo.lan, suricillo.local, home.lan ...)

Description quello che vuoi
Hostname (FQDN) server01.pippo.lan
Kerberos 5 Realm PIPPO.LAN
LDAP Base dc=pippo,dc=lan
Admin password quellachevuoi
Confirm password quellachevuoi

ciao
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Ven Feb 06, 2015 10:46 pm    Oggetto: Rispondi citando

Avrei preferito attendere che Suricillo fosse riuscito a terminare le modifiche agli indirizzi IP nella sua configurazione, ma non sentendolo Neutral mi azzardo a proseguire la discussione sul filone "accesso alle cartelle condivise".

redfive ha scritto:
per un HDD condiviso su win7 ho creato una regola nel firewall di windows, altrimenti non era visibile dalla rete della VPN00

Ok. Aperta porta 445, nessun cambiamento. Disattivato totalmente il firewall di Windows, ancora nessun cambiamento.

redfive ha scritto:
P.S. virtual server e firewall hanno funzioni diverse, anche se possono lavorare insieme, bisognerebbe vedere tutti e due.

E allora eccoli qui (X = valore omesso per leggibilità), i settaggi del Virtual Server...

Codice:
Chain PREROUTING (policy ACCEPT X packets, X bytes)
 pkts bytes target     prot opt in     out     source               destination         
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:8081 to:172.20.10.235
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:8017 to:172.20.10.2
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:4322 to:172.20.10.2
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:3389 to:172.20.10.2
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:3389 to:172.20.10.2
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:3389 to:172.20.10.2
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:3389 to:172.20.10.2
    X     X DNAT       tcp  --  ETH00  *       172.20.0.0/16        X.X.X.X        tcp dpt:3389 to:172.20.10.2
    X     X DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9080 to:192.168.1.1:80
    X     X DNAT       udp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:7 to:172.20.10.254:7
    X     X DNAT       udp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:9 to:172.20.10.254:9
    X     X DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3389 to:172.20.10.2:3389
    X     X DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5900 to:172.20.10.2:5900
    X     X DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:4322 to:172.20.10.2:4322
    X     X DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8017 to:172.20.10.2:8017
    X     X DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8081 to:172.20.10.235:8081

Chain POSTROUTING (policy ACCEPT * packets, * bytes)
 pkts bytes target     prot opt in     out     source               destination         
    X     X MASQUERADE  all  --  *      ETH00   172.20.0.0/16        172.20.10.235       
    X     X MASQUERADE  all  --  *      ETH00   172.20.0.0/16        172.20.10.2         
    X     X SNATVS     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    X     X MASQUERADE  all  --  *      ETH01   0.0.0.0/0            0.0.0.0/0           
    X     X MASQUERADE  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           

Chain SNATVS (1 references)
 pkts bytes target     prot opt in     out     source               destination

...e quelli del Firewall:

Codice:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    X     X ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    X     X ACCEPT     all  --  ETH00  ppp0    0.0.0.0/0            0.0.0.0/0           
    X     X ACCEPT     all  --  VPN00  ETH00   0.0.0.0/0            0.0.0.0/0           
    X     X ACCEPT     tcp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.2          tcp dpt:3389
    X     X ACCEPT     tcp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.3          tcp dpt:5900
    X     X ACCEPT     tcp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.2          tcp dpt:4322
    X     X ACCEPT     tcp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.2          tcp dpt:8017
    X     X ACCEPT     tcp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.3          tcp dpt:5110
    X     X ACCEPT     udp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.3          udp dpt:5110
    X     X ACCEPT     tcp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.235        tcp dpt:8081
    X     X ACCEPT     udp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.254        udp dpt:7
    X     X ACCEPT     udp  --  ppp0   ETH00   0.0.0.0/0            172.20.10.254        udp dpt:9
    X     X ACCEPT     tcp  --  ppp0   ETH01   0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    X     X CapPort    all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy DROP X packets, X bytes)
 pkts bytes target     prot opt in     out     source               destination         
    X     X SYS_GUI    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    X     X SYS_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    X     X SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    X     X SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    X     X SYS_SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    X     X ACCEPT     all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    X     X ACCEPT     all  --  ETH00  *       0.0.0.0/0            0.0.0.0/0           
    X     X ACCEPT     udp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:1195

Chain OUTPUT (policy ACCEPT X packets, X bytes)
 pkts bytes target     prot opt in     out     source               destination         
    X     X SYS_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Ho postato questi dati al posto di più usuali screenshot perché ho visto che è prassi comune in questo forum.

Se si preferiscono delle normali videate, basta chiedere. Wink
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Sab Feb 07, 2015 4:38 pm    Oggetto: Rispondi citando

redfive ha scritto:
Prova cosi', per ora lasciamo perdere la rete tra ZS ed il router....
collegati a ZS dalla sua lan, elimini il pool dhcp della ETH00, vai in network, ETH00, edit ip, metti 192.168.8.1 255.2555.255.0, ti butta fuori, sul pc metti un ip fisso tipo 192.168.8.100, ti ricolleghi a ZS all'indirizzo 192.168.8.1, ricrei il pool dhcp per la rete 192.168.8.0 (in una rete classe C classful, tipo 192.168.1.0/24 ci sono 254 ip utilizzabili, da 1 a 254, il .0 è l'indirizzo di rete ed il .255 l'indirizzo di broadcast, e nessuno dei due è utilizzabile per gli hosts), eventualmente ricrei anche gli static binding ip mac (Static IP Entries). Il Def.Gw, DNS ed altro li lasci per ora come sono, hai solo cambiato l'idirizzo della lan di ZS.
In VPN00 - Tunnel Configuration - Paremeters
Codice:
--ifconfig 10.10.13.1 10.10.13.2 --cipher BF-CBC --push 'ifconfig 10.10.13.2 10.10.13.1' --push 'route 192.168.8.0 255.255.255.0 vpn_gateway'
Aggiunge la rotta per tutta la rete 192.168.8.0, via interfaccia VPN sul dispositivo.
Volendo.... crei un nuovo profilo ..optional, perche poi devi ricreare quasi tutta la configurazione, ma avresti il tuo domain-name, sia per i certificati che per il dns e gli hosts, example.com è quello di default, giusto per far funzionare ZS.... esempio con dominio di 2 livello pippo.lan
(ma potrebbe essere suricillo.lan, suricillo.local, home.lan ...)

Description quello che vuoi
Hostname (FQDN) server01.pippo.lan
Kerberos 5 Realm PIPPO.LAN
LDAP Base dc=pippo,dc=lan
Admin password quellachevuoi
Confirm password quellachevuoi

ciao


Ciao Redfive! Ci ho messo un pò di tempo ma non ero a casa causa lavoro, ora sono rientrato e ho iniziato le prova. Ebbene, collegandomi via VPN dal cell, digitando 192.168.8.1 riesco a raggiungere il pannello di zeroshell!!! Grandissimo risultato!

Se invece metto 192.168.81.2 (che dovrebbe essere appunto il pc connesso alla ETH00 di zeroshell) non mi da nessun risultato, ma a questo punto penso che devo agire lato pc con la condivisione, il firewall del pc ecc???

Adesso quello che non riesco a capire è come raggiungere invece le altre cose connesse via rete all'alix con zeroshell! Per ora ho il router connesso alla ETH01, posso raggiungerlo in qualche modo, e in particolare raggiungere ciò che è connesso al router ? (ad ora ho il bridge che controlla le mie philips hue, chissà se posso comandarle da remoto).
Ho provato a connettere il bridge delle philips hue alla ETH02, gli ho impostato un indirizzo ip, abilitato dhcp su quella rete, e da vpn sono riuscito ad accedere a tale bridge e a comandarlo. Ma quando sarò a casa nuova, il bridge non sarà connesso direttamente all'alix di zeroshell, ma ad un hub di rete (questo hub connesso all'alix). In questo modo, riuscirò tramite ip a raggiungere l'hub, ma come raggiungere le cose connesse all'hub???

Per quanto riguarda la seconda parte dei tuoi consigli, ancora non ho creato il nuovo profilo, ci proverò più in la!
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Sab Feb 07, 2015 10:37 pm    Oggetto: Rispondi citando

Suricillo ha scritto:
Per ora ho il router connesso alla ETH01, posso raggiungerlo in qualche modo

Visto che hai il router connesso alla stessa ETHnn che uso io, almeno per questa parte del problema posso segnalarti come ho risolto io.

Leggi in questo thread una possibile soluzione, sempre grazie al supporto dell'incredibile redfive.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Dom Feb 08, 2015 6:43 pm    Oggetto: Rispondi citando

@xavier
Aggiungerei in INPUT una regola di accept per l'interfaccia VPN00, e da quella di forward 'in VPN00 out ETH00', se vuoi raggiungere anche il modem/router di telecom dovresti togliere l'interfaccia di uscita, permettento il forwarding di quello che 'entra' dalla VPN00 verso tutte le interfacce di uscita, forse dovrai aggiungere anche una riga in 'Parameters', se la rete del modem/router è 192.168.1.0/24, qualcosa tipo
Codice:
--push 'route 192.168.1.0 255.255.255.0 vpn_gateway'
.
Per AndSMB ... non saprei, dopo aver fatto la regola nel fw di win funziona....
potresti provare cosi', temporaneamente aggiungi in FORWARD tre regole, al primo ed al secondo posto
1)'in VPN00 out ETH00 accept, log'
2)'in ETH00 out VPN00 accept, log'
3).....
4)....
Ultima) 'drop any any log'
Poi, durante il tentativo di accesso con AndSMB via VPN, guardando i log e usando i filtri, controlli cosa 'entra', cosa 'esce' e cosa viene droppato, dovresti capire se il problema è relativo a win (probabile) o a ZS...
@Suricillo
Controla che il pc sia raggiungibile via ping dal dispositivo connesso in VPN, se si, dovresti poi trovare sullo store una App tipo AndSMB di android, ma per Apple.
ciao
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Lun Feb 09, 2015 10:58 pm    Oggetto: Rispondi citando

redfive ha scritto:

@Suricillo
Controla che il pc sia raggiungibile via ping dal dispositivo connesso in VPN, se si, dovresti poi trovare sullo store una App tipo AndSMB di android, ma per Apple.
ciao


Ciao Redfive. Ho provato prima a usare la guida postata da xavier, e ho quindi abilitato prima il NAT della ETH01 (che in realtà già era attivo), poi ho abilitato il NAT della ETH00 (il mio pc connesso allo zeroshell).

Sono andato nel firewall e ho impostato la regola 1 e 12 che vedete nel link di xavier.

Così, collegandomi con VPN, sul 192.168.8.1 (ETH00) vedo il mio pc e con un programma da iphone (FileBrowser) vedo anche le cartelle condivise.
E così, sul 192.168.1.1 (EHT01) vedo il router, ma non le cose ad esso collegato. Esempio il bridge HUE (192.168.1.5) che vedo se attacco direttamente allo zeroshell (con un suo ip che gli assegno da ZS), non lo vedo quando è connesso al router.

Cosa sbaglio???
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Lun Feb 09, 2015 11:23 pm    Oggetto: Rispondi citando

Vai in Firewall, tasto View e posta l'output sia da INPUT che da FORWARD.
Il NAT su ETH00 (la rete interna) nell'esempio ha una sua funzione 'specifica', che nella tua configurazione non devrebbe servire....
ciao
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Mar Feb 10, 2015 12:16 am    Oggetto: Rispondi citando

Codice:
Chain INPUT (policy ACCEPT 153 packets, 18044 bytes)
 pkts bytes target     prot opt in     out     source               destination         
4848K  320M SYS_GUI    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
4848K  320M SYS_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   39  4361 SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
20754 2554K SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 SYS_SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22


Codice:
Chain OUTPUT (policy ACCEPT 1093 packets, 308K bytes)
 pkts bytes target     prot opt in     out     source               destination         
4853K  328M SYS_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Mar Feb 10, 2015 8:19 am    Oggetto: Rispondi citando

La config. del firewall sembra quella di default, quindi è permesso tutto (manca la chain di FORWARD dagli output)
Hai aggiunto , in Parameters
Codice:
--push 'route 192.168.1.0 255.255.255.0 vpn_gateway'
Con il nat su ETH01, tutto ciò che esce da quell'interfaccia, esce con il source ip address di tale interfaccia, quindi i dispositivi tra ZS ed il router dovrebbero poter comunicare con quello che per loro è un host che fà parte della stessa rete.
ciao
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Mar Feb 10, 2015 7:10 pm    Oggetto: Rispondi citando

Dopo aver cancellato, con profonda malinconia, tutti quei raffinati settaggi dell'altro thread, posto, a beneficio di chi ci segue, un riassunto della mia configurazione.

Per semplificarmi la vita, stavolta ho usato come range IP qualcosa di più simile agli esempi postati da Suricillo e redfive, ma nulla vieta di usare qualsiasi altro range IP privato ammesso.

Rispetto all'altro thread, qui tutta la configurazione è moooolto più semplice. Niente script, niente settaggi nel Virtual Server, solo poche impostazioni nel Firewall.

Partiamo dalle regole di Forward (notare il campo "Policy" impostato a "DROP"):



La regola 1 e 2 sono obbligatorie per navigare, altrimenti non si va da nessuna parte.

La regola 3 serve a gestire il traffico dalla VPN.

La regola 4 consente di accedere alla pagina di configurazione del modem dalla LAN interna (nel mio caso la LAN ha range IP 192.168.5.n, il modem sta su 192.168.1.1).

La regola 5 consente di accedere alla stessa pagina del modem dalla VPN.

Queste invece sono le regole di Input (anche in questo caso "Policy" a "DROP"):



In questo caso notare le regole 3 e 4, obbligatorie per la VPN.

Infine, le regole di Output... praticamente assenti (con "Policy" semplicemente su "ACCEPT"):



Il tutto poi si completa con la riga "Parameters" nella configurazione della VPN:

Codice:
--ifconfig 10.10.13.1 10.10.13.2 --cipher BF-CBC --push 'ifconfig 10.10.13.2 10.10.13.1' --push 'route 192.168.5.0 255.255.255.0 vpn_gateway' --push 'route 192.168.1.0 255.255.255.0 vpn_gateway' --push 'dhcp-option DNS 192.168.5.1'

Il primo "push route" ( --push 'route 192.168.5.0 255.255.255.0 vpn_gateway') va creato considerando il range IP della propria LAN.

Il secondo (--push 'route 192.168.1.0 255.255.255.0 vpn_gateway') serve ad accedere al modem dalla VPN.

Il terzo ed ultimo "push" (--push 'dhcp-option DNS 192.168.5.1') serve per avere un servizio DNS nella VPN. Senza, non si naviga.

@redfive: avevi ragione sulle regole del FW di Windows. Riconfigurato tutto come dagli esempi sopra esposti, ora va anche AndSMB (che, tra l'altro mi piace per l'approccio unix-like, rispetto ad ES Gestore File).

Ora l'unica cosa che mi manca è il Wake On Lan via VPN.

In questi giorni ho letto tonnellate di pagine web sull'argomento ma nessuna informazione chiara, almeno per me.

C'è qualcuno che ci sia riuscito ?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Mar Feb 10, 2015 9:18 pm    Oggetto: Rispondi citando

@xavier
Non saprei, ho provato questa app e da vpn funziona, anche con hostname.domain 'privato' ....
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Dom Feb 22, 2015 2:44 pm    Oggetto: Rispondi citando

redfive ha scritto:

Volendo.... crei un nuovo profilo ..optional, perche poi devi ricreare quasi tutta la configurazione, ma avresti il tuo domain-name, sia per i certificati che per il dns e gli hosts, example.com è quello di default, giusto per far funzionare ZS.... esempio con dominio di 2 livello pippo.lan
(ma potrebbe essere suricillo.lan, suricillo.local, home.lan ...)

Description quello che vuoi
Hostname (FQDN) server01.pippo.lan
Kerberos 5 Realm PIPPO.LAN
LDAP Base dc=pippo,dc=lan
Admin password quellachevuoi
Confirm password quellachevuoi

ciao


Ciao Redfive, rieccomi. Sto provando a creare la configurazione da zero per quando andrò a casa nuova, e così ho fatto come hai detto tu creando un nuovo profilo. Fino ad ora è andato tutto ok, ho messo i miei dati, assegnato ip alla ETH00 (sempre cavo da ZS al mio PC), assegnato IP alla ETH01 (cavo da ZS a ROUTER), ecc. e sono riuscito almeno a connettermi in VPN dal mio cell, quindi posso affermare di aver capito bene come si configura e di riuscire a connettermi.
Il primo problema però è che, mentre prima riuscito tramite indirizzo IP a raggiungere il mio PC tramite un programma di file explorer, adesso non ci riesco più. Metto l'indirizzo del PC (192.168.8.1) ma non riesco a raggiungerlo come facevo prima, cosa posso aver sbagliato/dimenticato?
Il secondo problema, però, che devo fronteggiare ora è che alcune volte capita che il router venga spento da qualcuno (mio padre al momento) oppure che manchi la corrente e inevitabilmente mi ritrovo un cambio di indirizzo IP che mi crea problemi per connettermi.
Ho visto l'esistenza del sito freedns.afraid.com che ti offre dei subdomains, ne ho impostato uno scegliendolo da una lista infinita e sono riuscito a connettermi dal cell sostituendo il mio ip con il dns che ho scelto, e aggiungendo in hosts il nome del dns (che poi in questo caso perdo la nuova configurazione a mio nome???). Ora dovrei impostare uno script che dovrebbe inviare ogni tot minuti il mio ip a questo sito. Pensi che sia una cosa sicura questa????
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Dom Feb 22, 2015 2:58 pm    Oggetto: Rispondi citando

xavier ha scritto:
Dopo aver cancellato, con profonda malinconia, tutti quei raffinati settaggi dell'altro thread, posto, a beneficio di chi ci segue, un riassunto della mia configurazione.

Per semplificarmi la vita, stavolta ho usato come range IP qualcosa di più simile agli esempi postati da Suricillo e redfive, ma nulla vieta di usare qualsiasi altro range IP privato ammesso.

Rispetto all'altro thread, qui tutta la configurazione è moooolto più semplice. Niente script, niente settaggi nel Virtual Server, solo poche impostazioni nel Firewall.

Partiamo dalle regole di Forward (notare il campo "Policy" impostato a "DROP"):



La regola 1 e 2 sono obbligatorie per navigare, altrimenti non si va da nessuna parte.

La regola 3 serve a gestire il traffico dalla VPN.

La regola 4 consente di accedere alla pagina di configurazione del modem dalla LAN interna (nel mio caso la LAN ha range IP 192.168.5.n, il modem sta su 192.168.1.1).

La regola 5 consente di accedere alla stessa pagina del modem dalla VPN.

Queste invece sono le regole di Input (anche in questo caso "Policy" a "DROP"):



In questo caso notare le regole 3 e 4, obbligatorie per la VPN.

Infine, le regole di Output... praticamente assenti (con "Policy" semplicemente su "ACCEPT"):



Il tutto poi si completa con la riga "Parameters" nella configurazione della VPN:

Codice:
--ifconfig 10.10.13.1 10.10.13.2 --cipher BF-CBC --push 'ifconfig 10.10.13.2 10.10.13.1' --push 'route 192.168.5.0 255.255.255.0 vpn_gateway' --push 'route 192.168.1.0 255.255.255.0 vpn_gateway' --push 'dhcp-option DNS 192.168.5.1'

Il primo "push route" ( --push 'route 192.168.5.0 255.255.255.0 vpn_gateway') va creato considerando il range IP della propria LAN.

Il secondo (--push 'route 192.168.1.0 255.255.255.0 vpn_gateway') serve ad accedere al modem dalla VPN.

Il terzo ed ultimo "push" (--push 'dhcp-option DNS 192.168.5.1') serve per avere un servizio DNS nella VPN. Senza, non si naviga.

@redfive: avevi ragione sulle regole del FW di Windows. Riconfigurato tutto come dagli esempi sopra esposti, ora va anche AndSMB (che, tra l'altro mi piace per l'approccio unix-like, rispetto ad ES Gestore File).

Ora l'unica cosa che mi manca è il Wake On Lan via VPN.

In questi giorni ho letto tonnellate di pagine web sull'argomento ma nessuna informazione chiara, almeno per me.

C'è qualcuno che ci sia riuscito ?


Provavo ad impostare il firewall anche per la mia rete....ma perchè io non ho ppp00??? :/ Cosa sbaglio a settare?
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Lun Feb 23, 2015 12:15 am    Oggetto: Rispondi citando

Suricillo ha scritto:
ma perchè io non ho ppp00??? :/ Cosa sbaglio a settare?


Prova a postare lo screenshot della tua sezione System -> Setup -> Network.

Almeno per la parte relativa a PPP0, dovrebbe assomigliare alla prima figura di questo thread.

A proposito: sicuramente redfive ti darà una risposta molto più circostanziata della mia, ma per quanto riguarda la raggiungibilità della tua rete ogni volta che riavvi il router o ZS, dai un'occhiata alla sezione Network -> DNS -> Dynamic DNS. ZS supporta pochi provider, ma con un account free su noip.com il tuo problema dovrebbe essere risolto.
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Lun Feb 23, 2015 9:23 pm    Oggetto: Rispondi citando

Ecco qua....io questa ppp00 non ce l'ho proprio....ho ETH00 e ETH01 (Zeroshell-PC e Zeroshell-Router).



EDIT: Ho riconfigurato tutto, e con firewall non attivato riesco ad accedere ai dispositivi connessi al router (ETH01) mentre non riesco ad accedere al pc (ETH00). Con la vecchia configurazione ci riuscivo, non riesco a capire quale è il motivo.

EDIT2: Cosa strana, riesco a raggiungere i dispositivi connessi al routrer ma non riesco a raggiungere lo stesso router.... Rolling Eyes ....inizio ad essere un pò confuso.....

EDIT3: Ho visto il log di zeroshell relativo alla VPN e ho trovato questi errori:

WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
22:16:39 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1573', remote='link-mtu 1541'
22:16:39 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
22:16:39 WARNING: 'ifconfig' is present in local config but missing in remote config, local='ifconfig 10.10.13.0 10.10.13.2'
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Lun Feb 23, 2015 10:39 pm    Oggetto: Rispondi citando

Stai usando una rete diversa da prima, nella config. della vpn, in 'Parameters', ora dovresti avere qualcosa del genere
Codice:

--ifconfig 10.10.13.1 10.10.13.2 --cipher BF-CBC --push 'ifconfig 10.10.13.2 10.10.13.1' --push 'route 192.168.81.0 255.255.255.0 vpn_gateway' --push 'route 192.168.1.0 255.255.255.0 vpn_gateway' --push 'dhcp-option DNS 10.10.13.1'
.
La ppp0 serve solo se il router 'davanti' a ZS lo usi in bridge-mode, e la connessione ppp la fà direttamente ZS, avresti il pubblico direttamente su tale interfaccia, ma non è che sia indispensabile, per quel che ti serve credo tu abbia risolto con un port-forwarding sul router.
ciao
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Lun Feb 23, 2015 10:44 pm    Oggetto: Rispondi citando

Io ho questo....

Codice:
--ifconfig 10.10.13.1 10.10.13.2 --cipher BF-CBC --push 'ifconfig 10.10.13.2 10.10.13.1' --push 'route 192.168.81.0 255.255.255.0 vpn_gateway' --push 'route 192.168.1.0 255.255.255.0 vpn_gateway'
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Lun Feb 23, 2015 10:48 pm    Oggetto: Rispondi citando

Manca il DNS, ma non è questo il problema, vedendo i log, credo che hai 'perso qualcosa' per strada nei file modificati, ZS sta usando 'TAP' invece di 'TUN' ....
ciao


L'ultima modifica di redfive il Lun Feb 23, 2015 10:49 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Lun Feb 23, 2015 10:49 pm    Oggetto: Rispondi citando

Ok grazie, rifarò tutta la configurazione da 0.

EDIT: Solo una domanda....mi è venuto un dubbio. Sostituendo Example.com con il mio dominio così come mi avevi detto tu, non è che devo cambiare qualcosa in DNS? Perchè se ci clicco, leggo in alto a destra EXAMPLE.COM come domain. Devo fare qualcosa anche qua, vero?
Top
Profilo Invia messaggio privato
Suricillo



Registrato: 11/01/15 12:57
Messaggi: 25

MessaggioInviato: Lun Feb 23, 2015 11:27 pm    Oggetto: Rispondi citando

Ogni volta che ricomincio da zero, ho qualche problema.
Riassumo di seguito i passaggi che faccio.

1) Creo un nuovo profilo con un nome hostname scelto da me tipo casa.prova.lan - K5 Realm : prova.lan - LDAP : dc=prova,dc=lan

2) Assegno ip alla ETH00, tipo 192.168.81.1
3) Assegno ip alla ETH01 (router) tipo 192.168.1.70
4) Clicco su gateway in alto e metto 192.168.1.1 con 255.255.255.0 (indirizzo ip del mio router)
5) abilito NAT su ETH01 (PC-Router) e così ho l'accesso a internet.

Fin qui è tutto esatto o sbaglio qualcosa???
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2, 3, 4  Successivo
Pagina 3 di 4

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it