[MontelLUG] Openvpn gw2gw

Ivan Dalla Zuanna ivan a x-globe.net
Sab 17 Nov 2012 01:29:37 CET 


Inviato da iPod

Il giorno 17/nov/2012, alle ore 01:00, Samuele <samuele.zanin a tiscali.it> 
> In realtà bisogna dire ad openvpn quali
> sono le reti che si trovano dall'altra parte (il che secondo me può
> essere un problema se vuoi fare cose un po' più spinte).
> 
Mah non la vedo una cosa così critica, ho configurazioni veramente spinte ed alla fine basta impostare correttamente le route ed eventualmente le regole del firewall.
> 
> Visto che ti ho in linea, faccio un'altra domanda.
> Sempre su questo endian, ho configurato il suo vpn server per delle
> connessioni da remoto sul segmento di rete orange (per permettere a tizi
> esterni di collegarsi a delle macchine non in lan ecc.).
> Ora, se volessi (io no, ma qualcun altro si), collegarsi dall'esterno al
> suddetto firewall per accedere alla lan, sempre tramite openvpn, stando
> all'interfaccia web, questo non mi sembra possibile, in quanto la vpn è
> già attestata sulla zona orange.
> Io pensavo banalmente, di farmi un altro file di configurazione server e
> lanciare una seconda istanza di openvpn. In quest'ultimo caso, poi tutta
> la gestione dovrà essere fatta via ssh, ma non lo vedo un problema
> neanche per l'end user. L'unica rogna è che il demone openvpn dovrei
> metterlo nella rete 102.102.102.0, il tun adapter prenderebbe il
> 102.102.102.1 che è già occupato dal firewall stesso.
> Non so se invece di usare il tun usassi il tap risolvo questo problema.
> Dovrei approfondire visto che il tap non l'ho mai usato.
> 
Se mi ricordo bene dovrebbe essere sufficiente specificare un ip statico della LAN per quegli utenti che vuoi vadano in LAN. Io comunque non userei la orange per farci arrivare gli utenti vpn, piuttosto farei due subnet sulla LAN e poi ma la giocherei con gli ip statici per utente e le regole del firewall. O magari con delle vlan. La orange sarebbe concepita per altri scopi. Occhio che sulla 2.5.1 c'è un baco per cui l' assegnazione statica di ip agli utenti vpn da interfaccia web non funge, bisogna farsi dei file a manina, se ti serve mi ritrovo l'articolo tecnico.

Ciao!

More information about the montellug mailing list