Username
Password

Networking

Area di Discussione sulle Telecomunicazioni
Sunday, 22 April 2018, 18:42
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

domanda su routing e openvpn


Buongiorno,
avrei una curiosità a cui non riesco a dare una risposta...

ho una rete (di casa mia) dove ho la fibra di telecom e quindi il loro router.
ho configurato il servizio openvpn (tun) server sul mio nas qnap e inoltrato la porta sul qnap infatti mi connetto che è una meraviglia.
e con stupore vedo anche le altre periferiche nella rete, la stampante di rete , lo stesso qnap, il router, il mio pc, ecc...

aggiungo che non ho configurato la route sul router per la classe diefferente di openvpn.

per fare un test un amico mi consiglia un mikrotik, configuro la vpn anche li e infatti dall'esterno mi collego senza problemi ma vedo solo il mikrotik...

capisco che sarebbe corretto perchè non posso configurare sul router la route per la classe openvpn differente, ma la mia domanda è... come cavolo fa a funziona tutto con il qnap?????

cioè potrei replicare la situazione anche su un dispositivo differente, sempre un client lan tipo un mikrotik o un serverino centos o altro???

grazie in anticipo
    Rispondi Citando Rispondi
Monday, 23 April 2018, 08:38
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 42
 Messaggi: 4,223

Impossibile rispondere senza sapere quali sono le configurazioni dei vari dispositivi a livello di rotte, ecc.

Inoltre occorre verificare se in entrambi i casi stai usando tunnel o bridge.
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Monday, 23 April 2018, 21:22
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

perdona, ecco tutto.
entrambi in routed

qui file ovpn che gira su qnap mi fa funzionare tutta la rete remota

Codice:
client dev tun script-security 3 proto udp remote x.x.x.x 1194 resolv-retry infinite nobind ca ca.crt reneg-sec 0 cipher AES-128-CBC tls-cipher TLS-SRP-SHA-RSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA comp-lzo auth-user-pass login.txt route 10.1.1.0 255.255.255.0 route-metric 50

qui il file del mikrotik che però non va per tutta la rete remota ma solo su se stesso

Codice:
client dev tun proto tcp-client remote x.x.x.x port 1195 nobind persist-key persist-tun tls-client remote-cert-tls server ca CA.crt cert client1.crt key client1.key verb 4 mute 10 cipher AES-256-CBC auth SHA1 auth-user-pass login.txt auth-nocache ### provato con e senza le due righe sotto che ho copiato dall'altro file route 10.1.1.0 255.255.255.0 route-metric 50

narualmente la rete remota è
10.1.1.0

grazie mille
    Rispondi Citando Rispondi
Wednesday, 25 April 2018, 11:43
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 42
 Messaggi: 4,223

È possibile che il qnap abbia un destination nat per i pacchetti in uscita?

Per verificare potresti mettere l'ip interno del mikrotik come gateway per la rete della vpn come rotta statica su una macchina sulla 10.1.1.0 (immagino /24).

Es:

mikrotik: 10.1.1.100

macchina di test : 10.1.1.10 default gateway il suo, route x.x.x.x (vpn net) gw 10.1.1.100

client: x.x.x.10

E vedere se il ping da client arriva sulla macchina di test e viceversa.
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Wednesday, 25 April 2018, 18:36
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

non so come sia configurato il qnap perchè è già pacchettizzato così.
però ti giuro che funziona, ho provato anche con un altro qnap su una rete con vodafone station (anche li non è possibile inserire rotte manuali) e funziona perfettamente.

per il mikrotik perdonami ma non ho capito.
in questo caso non fa router, ma l'ho configurato solo come client lan, come potrebbe essere il qnap...

oppure intendi inserire manualmente una rotta statica su ogni client, visto che non è possibile farlo sul router?
però mi snatura il mio pensiero, perchè tipo su stampanti di rete non ho la possibilità di inserire questo tipo di configurazioni.

La mia idea era risucire a capire per poter replicare la vpn del qnap, magari con mikrotik o in caso anche un server linux per provare.

quindi l'idea è

- client 1 (pc) 10.1.1.2
router telecom/vodafone - client 2 (stampante) 10.1.1.3
- client3 (openvpnserver) 10.1.1.4 tun openvpn 10.8.0.1

il router naturalmente ha 10.1.1.1 e la porta per openvpn inoltrata, e non ha impostato nessuna rotta statica

con questo scenario poter instaurare una connessione openvpn dall'esterno e comunicare con tutti i client della lan.

con due nas della qnap configurati in questa maniera funziona perfettamente senza rotta statica sul router, mi piacerebbe poter capire come fa per poterlo replicare con un mikrotik/pfsense/linux server/ecc.

Grazie mille
    Rispondi Citando Rispondi
Thursday, 26 April 2018, 13:40
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 42
 Messaggi: 4,223

Quote:
Originariamente inviato da ale82x
oppure intendi inserire manualmente una rotta statica su ogni client, visto che non è possibile farlo sul router?
però mi snatura il mio pensiero, perchè tipo su stampanti di rete non ho la possibilità di inserire questo tipo di configurazioni.

fallo su un solo client per vedere se è questo il problema (dovrebbe esserlo al 90%, perché se i client usano il default per uscrire, e il default non è il mikrotik e il mikrotik non fa source NAT, i pacchetti di ritorno dei client in vpn tentano di uscire dal default gateway ma hanno un indirizzo privato e vengono droppati.

Se fosse così c'è poco da fare: o inserisci la rotta a mano su ogni singolo pc della LAN o il traffico non torna dalla vpn (oppure configuri il mikrotik per fare source NAT così i pacchetti tornano a lui e funziona).
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Thursday, 26 April 2018, 16:56
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

purtroppo confermo che con la route funziona...

quindi a questo punto devo cercare come fare source NAT al mikrotik.
ok grazie mi informo

oppure sai come è possibile farlo con un server linux?
io ho già attivato correttamente una openvpn routed su linux centos ma il problema è lo stesso di sopra, è possibile "attivare" questo source NAT?

grazie mille ancora
    Rispondi Citando Rispondi
Thursday, 26 April 2018, 18:54
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 42
 Messaggi: 4,223

Sì certo è semplicissimo con CentOS 7 c'è anche firewalld che rende tutto immediato.

Altrimenti basta una singola regola di iptables:

Codice:
iptables -t nat -A POSTROUTING -s $CLASSE_IP_VPN -d $CLASSE_LAN -o $DEVICE_DI_USCITA -j SNAT --to-source $IP_CENTOS_SU_LAN

Es:

Codice:
iptables -t nat -A POSTROUTING -s 10.254.1.0/24 -d 10.1.1.0/24 -o enp1s1 -j SNAT --to-source 10.1.1.15

Controlla la sintassi perché l'ho messa al volo... al posto di -j SNAT --to-source $IP puoi mettere semplicemente -j MASQUERADE ma se non ricordo male è deprecato.

(non renderla permanente con service iptables save finché non sei certo di provarla)
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Friday, 27 April 2018, 13:37
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

ok, grazie mille.


faccio una prova e poi faccio sapere

grazie mille
    Rispondi Citando Rispondi
Friday, 27 April 2018, 23:08
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

ottimo, grazie mille.

ho fatto un test, e funziona perfettamente !!!

grazie mille,
usando il firewall csf firewall , ho creato le regole nel file csfpre.sh

e funziona tutto regolarmente...
adesso mi leggo se posso replicarlo su un mikrotik.

grazie ancora
    Rispondi Citando Rispondi
Commenti a questo messaggio
  palin: Yabadabaduu!
Thursday, 3 May 2018, 19:32
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

ho fatto 30 facciamo 31

visto che funziona con linux, posso fare la stessa operazione con windows?
ma non essendoci iptables come faccio a farlo???
sempre se è possibile....

grazie ancora
    Rispondi Citando Rispondi
Friday, 4 May 2018, 09:24
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 42
 Messaggi: 4,223

Quote:
Originariamente inviato da ale82x
ho fatto 30 facciamo 31

visto che funziona con linux, posso fare la stessa operazione con windows?
ma non essendoci iptables come faccio a farlo???
sempre se è possibile....

grazie ancora

Non ne ho la più pallida idea. Non credo che Windows abbia uno stack di rete che consenta il NAT personalizzabile. Ma mia attendo che qualche guru di Redmond mi smentisca.

(In realtà il NAT ce l'ha perché se usi una delle sue funzionalità che non so se ancora esistono di condivisione della connessione di rete, lo fa anche e manco male, ma non è personalizzabile)
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Saturday, 5 May 2018, 10:19
ale82x
 VG Vip
 
 Località: bg
 Messaggi: 681

ok , allora lascio perdere in partenza

anche io non ho mai sentito NAT su windows ma ho preferito chiedere...

grazie comunque
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
microzott, ggigi99, RomeoKnight, SanK, Morpheus, Duilio, palin, SatRider, Foxes, ale82x, CORTOilMALTESE
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo

Se hai problemi, contattaci


Visite Totali Posts: 67.353.017
Tutti gli Orari sono GMT +1. Attualmente sono le 22:37.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group