[MontelLUG] VPN e instradamenti particolari

Samuele samuele.zanin a tiscali.it
Mar 23 Set 2014 21:19:29 CEST


On 23/09/2014 20:06, Daneel Olivaw wrote:
> Buongiorno lista.
> 
> Ho un bel firewall PfSense col quale gestsco anche la possibilità di
> collegamenti dall'esterno via VPN.

Con che software? ipsec? openvpn? altro?

> Se però sono connesso via VPN (con IP 192.168.y.z), non riesco neanche
> a pingare le macchine sulle altre reti... ad essere sincero neanche il
> 192.168.x.1 mi risponde... 

e mi pare anche giusto.
Chi gestisce l'altra rete, sa che tu hai il 192.168.x.0/24, quindi
accetterà solo traffico proveniente da questa rete. Gli altri ip li
manda a quel paese sia per motivi di sicurezza, che metti mai che tu vai
ad usare la 192.168.z.0/24 che lui usa su un'altra sottorete.

> Ho provato a cambiare varie impostazioni (andando più a caso che con
> cognizione di causa, lo ammetto '^_^), ma avendo appena cominciato a
> metterci le mani non riesco a capire dove possa essere il problema: in
> teoria non dovrebbe funzionaretutto lo stesso? O il fatto di provenire
> da un'altra rete (IP diverso dalla mia) può far insospettire il
> firewall degli altri che la prende male?

Già.

> Avete suggerimenti su cosa guardare?

Se sai che il firewall del tuo cliente, accetta solo traffico dalla rete
192.168.x.0/24, e tu lo generi dalla 192.168.y.0/24, tu che fai?
Fai in modo di che TUTTO il traffico proveniente dalla tua vpn, si
presenti a lui come 192.168.x.k, dove k è l'indirizzo lan del tuo
firewall o altro ip che vuoi usare.

Non ho mai avuto il piacere di approfondire pfsense, se il firewall
avesse iptables e eth0 è la lan, basterebbe un:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
o
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.x.k

in pratica dici al firewall, che tutto il traffico che lui rigirerebbe
sulla tua lan, deve mascherarlo e presentarlo con l'indirizzo ip
assegnato a eth0 o quello che metti tu nella regola SNAT.
La differenza tra le due regole sopra è che MASQUERADE si usa quando su
eth0 hai un indirizzo dinamico (tipicamente la configurazione in cui fai
fare da router al tuo fw e l'isp ti assegna un ip dinamico), mentre se
hai statico si usa lo SNAT. Io ho sempre usato MASQUERADE e non mi ha
mai dato problemi.

Se il tuo server vpn è openvpn, ocio che va modificato un parametro (che
non ricordo a memoria, mi pare remote-networks o simile, se serve lo
recupero) con il quale gli dici quali sono le reti che ci stanno
dall'altra parte, oltre la tua lan. In questo modo inoltra il pacchetti,
altrimenti li cecchina.

Se poi vuoi postare un po' di indirizzi ip e credenziali di accesso, gli
si da un'occhiata da remoto (inclusa la pwd del termoconvettore
trifase). :-P

> Grazie e a presto :-)

Vado a riesumare xinetd...




More information about the montellug mailing list