Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Accesso Sottorete da VPN

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
hunterbit



Registrato: 02/06/08 01:34
Messaggi: 29

MessaggioInviato: Mar Mar 21, 2017 7:23 pm    Oggetto: Accesso Sottorete da VPN Rispondi citando

Ciao a tutti,
e grazie a tutti per il contributo che ho sempre ricevuto.
Vengo al dunque della problematica.
Ho una mia rete con classe 192.168.2.x ed accesso in VPN e tutto funziona alla grande.
Ora per esigenza ho dovuto installare delle macchine nel mio ufficio che hanno classe ip differente 10.100.100.x entrambe con netmask 255.255.255.0.
Il mio server Zeroshell ha 3 schede LAN di cui una per collegamento diretto al modem e l'altra ho collegato la rete 192..... mentre sulla terza non ho niente. Per comunicare con la rete 10.... ho aggiunto il secondo ip alle macchine windows e fin qui tutto ok.
Ora vorrei fare in modo di eliminare il secondo ip inserito manualmente e collegare la sottorete 10........ alla terza scheda di rete ed inserire opportuna regola affinche tutte le macchine sotto 192..... possano comunicare con le macchine 10.....
Quindi il mio primo quesito è se posso fare questa configurazione.

Il secondo quesito rimane la VPN. Vorrei configurare degli account in modo che si colleghino all'attuale VPN ma che possano solo comunicare con le macchine che si trovano nella sottorete 10..... e possibilmente limitarli anche a degli specifici indirizzi IP di quella sottorete.

Grazie.
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 368

MessaggioInviato: Mar Mar 21, 2017 10:05 pm    Oggetto: Rispondi citando

Per la prima domanda puoi installare su 3^ lan e le regole nat in automatico le fará ZS anche in vpn quindi accesso a cartelle condivise se nn viste basta richiamarle con \\ip macchina

Per seconda domanda la risposta é no. Scopo vpn é accedere a rete lan interna qlc essa sia quindi se vuoi dividere le due lan usa due ZS oppure metti un router su lan 10.x.

Specificare ip specifici no
Top
Profilo Invia messaggio privato
hunterbit



Registrato: 02/06/08 01:34
Messaggi: 29

MessaggioInviato: Mar Mar 21, 2017 10:55 pm    Oggetto: Rispondi citando

Quindi non posso separarle e di conseguenza una volta che faccio accesso alla vpn sola rete 192.... Posso comunque raggiungere la rete sotto 10.... O no?
Grazie
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 368

MessaggioInviato: Mar Mar 21, 2017 11:31 pm    Oggetto: Rispondi citando

È italiano...

A meno che tu non interponga un router su LAN 10.x che divida le due classi ip viene da se che zs tenta di mettere in collegamento comunque le varie LAN con classe di ip diverse in vpn. See you
Top
Profilo Invia messaggio privato
hunterbit



Registrato: 02/06/08 01:34
Messaggi: 29

MessaggioInviato: Mar Mar 21, 2017 11:41 pm    Oggetto: Rispondi citando

Cercherò di mettere in pratica.
Grazie.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mer Mar 22, 2017 9:15 pm    Oggetto: Rispondi citando

Certo che puoi raggiungere l'obbiettivo .....una volta assegnata alla terza scheda la rete 10.100.100.0/24, già cosi' con regole firewall (chain FORWARD) puoi decidere 'chi' della rete 192.168.2.0/24 può parlare con chi della rete 10.100.100.0/24 (e viceversa), per la VPN H2L, sul mio ZS è configurata cosi ... ip address 192.168.248.1/29, in VPN, Authentication X.509 Certificate + Password, tutti i campi Client IP Address Assignment in bianco.
In Command Line Parameters
Codice:
--client-config-dir /Database/etc/ccd --ccd-exclusive --tun-mtu 1500 --remote-cert-eku 'TLS Web Client Authentication' --tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 --cipher AES-256-CBC --auth RSA-SHA384 --multihome --txqueuelen 2000 --crl-verify /etc/ssl/certs/trusted_CAs/249ac795.r0 --push 'route-gateway 192.168.248.1' --verb 5

Il primo parametro
Codice:
--client-config-dir /Database/etc/ccd

'Dice' al VPN server dove sono il file di configurazione dei vpn-client, per ogni client puoi generare un file di configurazione, vari parametri da 'passare' al client, quale indirizzo ip, rotte statiche .... il client viene riconosciuto o dal CN del certificato (se usi X.509, con o senza password) o dall'username (se usi solo password).
Codice:
--ccd-exclusive
Queso specifica che potranno connettersi in VPN solo i clients per i quali è presente un file di configurazione in /Database/etc/ccd, gli altri, anche se in possesso di cert./usr-pwd validi, non potranno connettersi.

Codice:
--tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
Questo usalo solo se ZS è 3.7.1 (OpenVPN 2.4.0)
Codice:
--crl-verify /etc/ssl/certs/trusted_CAs/249ac795.r0

Controlla la CRL, nel mio caso è importata (insieme a chiavi e certs), per sapere quale eventualmenet è, prima di importare, dai un
Codice:
ls /etc/ssl/certs/trusted_CAs/
Vedi quali files ci sono, importi, ridai il comando e vedi quale file è stato aggiunto.

Per i files di configurazione dei client, prima crei la directory CCD in /Database/etc/ssl
Codice:
mkdir /Database/etc/ssl/ccd
Poi, ad esempio, crei il config-file per l'utente admin
Codice:
vi /Database/etc/ssl/ccd/admin
Tipo
Codice:
ifconfig-push 192.168.248.2 255.255.255.248
push 'dhcp-option DOMAIN xxxxx.yy'
push 'dhcp-option DNS 192.168.248.1'
push 'dhcp-option NTP 192.168.248.1'
push 'route 192.168.192.0 255.255.255.192'
push 'route 10.1.1.0 255.255.255.248'
push 'route 192.168.15.0 255.255.255.0'
push 'route 10.2.2.2 255.255.255.255'
A cui verrà assegnato l'indirizzo ip 192.168.248.2/29, il DNS, ed alcune rotte statiche per reti raggiungibili tramite ZS stesso.

L'utente fabri
Codice:
ifconfig-push 192.168.248.6 255.255.255.248
push 'dhcp-option DNS 10.2.2.2'
push 'route 192.168.15.0 255.255.255.0'
push 'route 10.2.2.2 255.255.255.255'
Avrà un indirizzo ip 192.168.248.6/29, DNS e rotte diverse ......
Avendo, ogni vpn client una propria configurazione specifica, (ip address e statiche), puoi quindi giocare con le regole firewall per fare poi ciò che vuoi ....
File di configurazione openvpn client windows
Codice:
remote aaa.bbb.ccc 1194
proto tcp
auth-user-pass
ca   aaa.bbb.ccc.pem
cert aaa.bbb.ccc.pem
key  aaa.bbb.ccc.pem
verify-x509-name 'C=it, ST=xx, L=xx, O=xxxxxx, OU=xxxxxxx, CN=xxxxxxxx, emailAddress=xxxxxxx'
remote-cert-eku 'TLS Web Server Authentication'
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
cipher AES-256-CBC
auth RSA-SHA384
tun-mtu 1500
comp-lzo
verb 5
register-dns
mute 20
resolv-retry infinite
nobind
client
dev tap
persist-key
persist-tun
auth-nocache
script-security 3
route-method exe
route-delay 2

Se non ho dimenticato niente, e salvo errori ed omissioni .... Very Happy
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it