[MontelLUG] Openvpn gw2gw

Samuele samuele.zanin a tiscali.it
Sab 17 Nov 2012 01:00:11 CET


On 16/11/2012 15:04, Ivan Dalla Zuanna wrote:
> 
> Il 16/11/12 13:27, Samuele ha scritto:
>>  Ho un server openvpn sulla rete 10.99.2.0/24 in modalità routed. 
> Allora non ho mai provato OpenVPN con Server non Endian e client Endian,

In questo caso, il server vpn fa da concentratore per vpn pptp + due
istanze di openvp (ed un tempo ci stava anche un stramaledetto client
cisco che ogni tanto faceva crashare il server).

> ma ho diversi impianti in fuzione con gw2gw entrambi Endian.
> Ti dico come funziona con questa configurazione sperando che ti possa
> aiutare.
> Per quanto riguarda il server VPN principale, quello dove crei gli
> account non hai bisogno di niente di particolare se non che nei
> parametri dell'account vai a specificare gli indirizzi delle subnet
> remote. C'e' una voce che si chiama proprio "reti dietro al client".
> Puoi anche lasciare l'assegnazione dinamica dell'ip al client, tanto
> aggiungera' la route quando il tunnel va su.
> Lato client, vai a creare una connessione nel menu OpenVPN client
> (Gw2Gw). Metti indirizzo Ip o nome host, certificato digitale, nome
> utente e password. Non serve fare altro.

La lettura della tua mail mi ha fatto venire un dubbio, che ha trovato
conferma nella rilettura con calma della guida ad openvpn.
Io erroneamente credevo che una volta attivo il tunnel, i due tun
adapter si comportassero come una nic normale, e quindi poterci fare
tutte le porcate che volevo. In realtà bisogna dire ad openvpn quali
sono le reti che si trovano dall'altra parte (il che secondo me può
essere un problema se vuoi fare cose un po' più spinte).
Ho aggiunto route 102.102.102.0 sulla configurazione del server.
Poi sul file in ccd ho aggiunto la iroute 102.102.102.0.
Poi, a parte una boiata dovuta alla stanchezza, è andata al primo colpo.
Thx.

Visto che ti ho in linea, faccio un'altra domanda.
Sempre su questo endian, ho configurato il suo vpn server per delle
connessioni da remoto sul segmento di rete orange (per permettere a tizi
esterni di collegarsi a delle macchine non in lan ecc.).
Ora, se volessi (io no, ma qualcun altro si), collegarsi dall'esterno al
suddetto firewall per accedere alla lan, sempre tramite openvpn, stando
all'interfaccia web, questo non mi sembra possibile, in quanto la vpn è
già attestata sulla zona orange.
Io pensavo banalmente, di farmi un altro file di configurazione server e
lanciare una seconda istanza di openvpn. In quest'ultimo caso, poi tutta
la gestione dovrà essere fatta via ssh, ma non lo vedo un problema
neanche per l'end user. L'unica rogna è che il demone openvpn dovrei
metterlo nella rete 102.102.102.0, il tun adapter prenderebbe il
102.102.102.1 che è già occupato dal firewall stesso.
Non so se invece di usare il tun usassi il tap risolvo questo problema.
Dovrei approfondire visto che il tap non l'ho mai usato.

Intanto grassie e bonanotte.


> Ciao!

Ciao






More information about the montellug mailing list