Re: connessione alla lan con in mezzo una vpn
Paolo Miotto writes: Il 26/07/21 19:58, Leandro Noferini ha scritto: Io ho necessità di una vpn per poter avere un IP statico da una connessione casalinga per non aver problemi con i servizi che non vogliono IP residenziali (fondamentalmente l'email ma anche roba come XMPP). Purtroppo è vero, ci sono servizi che penalizzano gli ip assegnati agli utenti residenziali. Un serverino in cloud non è pensabile? È quella cosa della mia "idea" che non lo rende una soluzione perseguibile. L'idea del proxy esterno non mi piace gran che perché in ogni caso avrei una parte fondamentale della mia rete al di fuori del mio controllo, cosa che snaturerebbe la mia idea. Posso capire questa tua obiezione, ma non capisco come il fatto di avere una vpn fornita da terzi ti consenta un maggiore controllo sulla tua rete. Come dice Marco, io percepisco la vpn solo come un "cavo" che mi collega al resto di internet, servizio che non servirebbe se il mio provider fornisse l'ip statico. -- ciao leandro
Re: connessione alla lan con in mezzo una vpn
Il 2021-07-27 07:49 Paolo Miotto ha scritto: Il 26/07/21 19:58, Leandro Noferini ha scritto: L'idea del proxy esterno non mi piace gran che perché in ogni caso avrei una parte fondamentale della mia rete al di fuori del mio controllo, Posso capire questa tua obiezione, ma non capisco come il fatto di avere una vpn fornita da terzi ti consenta un maggiore controllo sulla tua rete. Personalmente concordo con Leandro, la VPN può essere vista semplicemente come il cavo che ti connette al resto della rete, no? Permette magari di figurare altrove rispetto a dove si è, ma non impedisce di avere il pieno controllo di ciò che quel cavo collega al resto del mondo. Ĝis, m
Re: connessione alla lan con in mezzo una vpn
Il 26/07/21 19:58, Leandro Noferini ha scritto: Io ho necessità di una vpn per poter avere un IP statico da una connessione casalinga per non aver problemi con i servizi che non vogliono IP residenziali (fondamentalmente l'email ma anche roba come XMPP). Purtroppo è vero, ci sono servizi che penalizzano gli ip assegnati agli utenti residenziali. Un serverino in cloud non è pensabile? L'idea del proxy esterno non mi piace gran che perché in ogni caso avrei una parte fondamentale della mia rete al di fuori del mio controllo, cosa che snaturerebbe la mia idea. Posso capire questa tua obiezione, ma non capisco come il fatto di avere una vpn fornita da terzi ti consenta un maggiore controllo sulla tua rete. -- Mandi. Paolo
Re: connessione alla lan con in mezzo una vpn
Paolo Miotto writes: Ho ripensato un attimo alla tua situazione; tu non vuoi fare l'uso classico [...] con un proxy con ip statico. Io ho necessità di una vpn per poter avere un IP statico da una connessione casalinga per non aver problemi con i servizi che non vogliono IP residenziali (fondamentalmente l'email ma anche roba come XMPP). L'idea del proxy esterno non mi piace gran che perché in ogni caso avrei una parte fondamentale della mia rete al di fuori del mio controllo, cosa che snaturerebbe la mia idea. -- ciao leandro
Re: connessione alla lan con in mezzo una vpn
Ho ripensato un attimo alla tua situazione; tu non vuoi fare l'uso classico della vpn per proiettare i client sulla rete privata, ma la vuoi usare per proiettare un host privato sulla rete pubblica: sei sicuro che la vpn sia la soluzione migliore? Se i client della vpn vengono nattati, allora tu perdi la visibilità della sorgente (ip) originale, e probabilmente non ti va bene. Se i client della vpn non vengono nattati , allora tu devi rispondere all'ip originale, pubblico, da cui il default gateway verso l'uscita della vpn. Io farei un pensierino ad un port forwarding, con un DDNS se possibile, oppure con un proxy con ip statico. Il 22/07/21 16:32, Leandro Noferini ha scritto: Quindi, riassumendo, io dovrei riuscire a raggiungere la rete locale da quel computer ma devo riuscire a lasciare la default route sulla vpn. Puoi provare a mantenere la config originale ed inserire una route statica per la tua rete privata: route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 metric 50 dove 192.168.1.0/24 è la tua rete privata Paolo
Re: connessione alla lan con in mezzo una vpn
Paolo Miotto writes: Il 18/07/21 09:03, Leandro Noferini ha scritto: /sbin/ip link set dev tun0 up mtu 1500 /sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255 /sbin/ip route add 91.19.55.235/32 via 192.168.1.1 /sbin/ip route add 0.0.0.0/1 via 91.19.51.1 /sbin/ip route add 128.0.0.0/1 via 91.19.51.1 Se hai già commentato la linea "redirect-gateway" nel tuo file di configurazione e ancora non funziona puoi provare ad inserire la linea Ho provato a togliere quella riga ma poi (evidentemente?) non riesco a raggiungere i servizi che ci sono su quell'IP da remoto. Quindi, riassumendo, io dovrei riuscire a raggiungere la rete locale da quel computer ma devo riuscire a lasciare la default route sulla vpn. Spero di essere riuscito a spiegarmi. pull-filter ignore "route add 0.0.0.0" [...] https://serverfault.com/questions/819339/openvpn-client-override-default-gateway-for-vpn-sever -- Ciao leandro
Re: connessione alla lan con in mezzo una vpn
Il 18/07/21 09:03, Leandro Noferini ha scritto: /sbin/ip link set dev tun0 up mtu 1500 /sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255 /sbin/ip route add 91.19.55.235/32 via 192.168.1.1 /sbin/ip route add 0.0.0.0/1 via 91.19.51.1 /sbin/ip route add 128.0.0.0/1 via 91.19.51.1 Se hai già commentato la linea "redirect-gateway" nel tuo file di configurazione e ancora non funziona puoi provare ad inserire la linea pull-filter ignore "route add 0.0.0.0" come descritto nella man page di openvpn. Non l'ho verificata, controlla i log per vedere se matcha correttamente. Se usi NetworkManger nei pannelli di configurazione della openvpn c'è l'opzione per rifiutare il default gateway "usa questa connessione solo per le risorse della sua rete". Una soluzione alternativa è quella di eseguire uno script che riconfigura le route dopo il collegamento come descritto in https://serverfault.com/questions/819339/openvpn-client-override-default-gateway-for-vpn-sever -- Mandi. Paolo
Re: connessione alla lan con in mezzo una vpn
On gio, lug 15, 2021 at 09:29:30 +0200, Paolo Miotto wrote: > Nella tua configurazione tutto il traffico viene dirottato nella vpn; spesso > si fa così per garantire che il client, se compromesso, possa fare da ponte > verso la rete protetta dalla vpn. > > Tu vorresti fare uno split tunnel, quindi devi eliminare l'opzione > > redirect-gateway > > dalla tua configurazione. > > > Devi poi verificare che route ti vengono inviate ed eventualmente rifiutarle > e gestirle a mano. Purtroppo di routing c'ho sempre capito meno del giusto e quindi avrei necessità di un aiuto più preciso. Nel log leggo queste righe: /sbin/ip link set dev tun0 up mtu 1500 /sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255 /sbin/ip route add 91.19.55.235/32 via 192.168.1.1 /sbin/ip route add 0.0.0.0/1 via 91.19.51.1 /sbin/ip route add 128.0.0.0/1 via 91.19.51.1 Devo fare qualcosa qui? -- Ciao leandro
Re: connessione alla lan con in mezzo una vpn
Marco Gaiarin writes: La speigazione di Paolo è perfetta; ma Questa è la configurazione di openvpn che mi ha dato il provider: [...] pull Io credo che il problema sia questo; con 'pull' tu ti prendi tutto quello che il server ti dice, compreso suppongo del routing farlocco. Puoi mandare dei log di connessione? Allego. Puoi vedere se il fornitore ha una pagina/faq/... con delle info più dettagliate? Quello ho paura di no perché sto usando un provider che definirlo "scarno" è un eufemismo! :-) vpn.log== OpenVPN 2.4.7 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 28 2021 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 TCP/UDP: Preserving recently used remote address: [AF_INET]91.19.55.235:443 Socket Buffers: R=[131072->131072] S=[16384->16384] Attempting to establish TCP connection with [AF_INET]91.19.55.235:443 [nonblock] TCP connection established with [AF_INET]91.19.55.235:443 TCP_CLIENT link local: (not bound) TCP_CLIENT link remote: [AF_INET]91.19.55.235:443 TLS: Initial packet from [AF_INET]91.19.55.235:443, sid=e8271fcc f5cbaea7 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this VERIFY OK: depth=1, C=CZ, ST=Ustecky Kraj, L=Usti nad Labem, O=FineVPN.com, OU=IT, CN=FineVPN.com CA, emailAddress=i...@finevpn.com VERIFY KU OK Validating certificate extended key usage ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication VERIFY EKU OK VERIFY X509NAME OK: C=CZ, ST=Ustecky Kraj, L=Usti nad Labem, O=FineVPN.com, OU=IT, CN=eu3.finevpn.com, emailAddress=i...@finevpn.com VERIFY OK: depth=0, C=CZ, ST=Ustecky Kraj, L=Usti nad Labem, O=FineVPN.com, OU=IT, CN=eu3.finevpn.com, emailAddress=i...@finevpn.com Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA [eu3.finevpn.com] Peer Connection Initiated with [AF_INET]91.19.55.235:443 SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1) SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1) SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1) PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,topology subnet,route-gateway 91.19.51.1,ifconfig 91.19.51.42 255.255.255.0' OPTIONS IMPORT: --ifconfig/up options modified OPTIONS IMPORT: route-related options modified OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0 HWADDR=dc:a6:32:cb:d2:d5 TUN/TAP device tun0 opened TUN/TAP TX queue length set to 100 /sbin/ip link set dev tun0 up mtu 1500 /sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255 /sbin/ip route add 91.19.55.235/32 via 192.168.1.1 /sbin/ip route add 0.0.0.0/1 via 91.19.51.1 /sbin/ip route add 128.0.0.0/1 via 91.19.51.1 Initialization Sequence Completed vpn.log== -- ciao leandro
Re: connessione alla lan con in mezzo una vpn
Mandi! Leandro Noferini In chel di` si favelave... La speigazione di Paolo è perfetta; ma > Questa è la configurazione di openvpn che mi ha dato il provider: [...] > pull Io credo che il problema sia questo; con 'pull' tu ti prendi tutto quello che il server ti dice, compreso suppongo del routing farlocco. Puoi mandare dei log di connessione? Puoi vedere se il fornitore ha una pagina/faq/... con delle info più dettagliate? -- È come se Mendeleev quando ha scoperto gli elementi, il giorno che ha scoperto l'ossigeno avesse detto: "benissimo, ho scoperto l'ossigeno, chi respira mi paga una royalty"... chi respira paga, pensa a Genova che casino, morivano tutti in apnea. (Beppe Grillo)
Re: connessione alla lan con in mezzo una vpn
Il 02/07/21 12:32, Leandro Noferini ha scritto: La situazione del router è una cosa come questa: admin@server:~$ ip r 0.0.0.0/1 via 94.190.57.1 dev tun0 default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202 94.190.57.0/24 dev tun0 proto kernel scope link src 94.190.57.54 94.190.58.253 via 192.168.1.1 dev eth0 128.0.0.0/1 via 93.190.51.1 dev tun0 192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 metric 202 Con questa configurazione non riesco a raggiungere dei servizi presenti sulla rete locale (come ad esempio un log server) se non fermando la vpn, collegandomi al servizio e poi riattivare la vpn. Nella tua configurazione tutto il traffico viene dirottato nella vpn; spesso si fa così per garantire che il client, se compromesso, possa fare da ponte verso la rete protetta dalla vpn. Tu vorresti fare uno split tunnel, quindi devi eliminare l'opzione redirect-gateway dalla tua configurazione. Devi poi verificare che route ti vengono inviate ed eventualmente rifiutarle e gestirle a mano. -- Mandi. Paolo
Re: connessione alla lan con in mezzo una vpn
Marco Gaiarin writes:
Mandi! Leandro Noferini
In chel di` si favelave...
admin@server:~$ ip r
[...]
al servizio e poi riattivare la vpn.
Non so dirti perchè è così (non capisco la configurazione di
openvpn...)
Cosa ti devo inviare per aiutarti?
Questa è la configurazione di openvpn che mi ha dato il provider:
=
proto tcp-client
remote provider.conf 443 # non-stadard port for OpenVPN
dev tun
ignore-unknown-option ip-win32 dynamic 0
ip-win32 dynamic 0
nobind
persist-key
tls-client
remote-cert-tls server
verify-x509-name provider.com name
verb 3
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass provider-pass.txt
[...]
-END CERTIFICATE-
=
ma quello che posso dire è che hai un routing parecchio strano.
Già, era un sospetto che mi era balenato :-)
Ma come ti dicevo, purtroppo di routing non ci capisco niente e
quindi
mi arrendo presto.
Hai il default routing sulla LAN ma con metrica ('peso'; vince
il peso più
[...]
192.168.1.0/24.
Quindi il default-route becca tutto.
--
ciao
leandro
Re: connessione alla lan con in mezzo una vpn
Mandi! Leandro Noferini
In chel di` si favelave...
> admin@server:~$ ip r
> 0.0.0.0/1 via 94.190.57.1 dev tun0
> default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202
> 94.190.57.0/24 dev tun0 proto kernel scope link src 94.190.57.54
> 94.190.58.253 via 192.168.1.1 dev eth0
> 128.0.0.0/1 via 93.190.51.1 dev tun0
> 192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 metric 202
>
> Con questa configurazione non riesco a raggiungere dei servizi presenti sulla
> rete locale (come ad esempio un log server) se non fermando la vpn,
> collegandomi
> al servizio e poi riattivare la vpn.
Non so dirti perchè è così (non capisco la configurazione di openvpn...) ma
quello che posso dire è che hai un routing parecchio strano.
Hai il default routing sulla LAN ma con metrica ('peso'; vince il peso più
basso) alta:
default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202
e anche il routing della LAN ha metrica alta:
192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 metric
202
e poi hai questi due routing:
0.0.0.0/1 via 94.190.57.1 dev tun0
128.0.0.0/1 via 93.190.51.1 dev tun0
che assieme fanno 'tutto':
gaio@hermione:~$ sipcalc 0.0.0.0/1
-[ipv4 : 0.0.0.0/1] - 0
[CIDR]
Host address- 0.0.0.0
Host address (decimal) - 0
Host address (hex) - 0
Network address - 0.0.0.0
Network mask- 128.0.0.0
Network mask (bits) - 1
Network mask (hex) - 8000
Broadcast address - 127.255.255.255
Cisco wildcard - 127.255.255.255
Addresses in network- 2147483648
Network range - 0.0.0.0 - 127.255.255.255
Usable range- 0.0.0.1 - 127.255.255.254
-
gaio@hermione:~$ sipcalc 128.0.0.0/1
-[ipv4 : 128.0.0.0/1] - 0
[CIDR]
Host address- 128.0.0.0
Host address (decimal) - 2147483648
Host address (hex) - 8000
Network address - 128.0.0.0
Network mask- 128.0.0.0
Network mask (bits) - 1
Network mask (hex) - 8000
Broadcast address - 255.255.255.255
Cisco wildcard - 127.255.255.255
Addresses in network- 2147483648
Network range - 128.0.0.0 - 255.255.255.255
Usable range- 128.0.0.1 - 255.255.255.254
-
a metrica più bassa, quindi vincono loro, e comprendono anche
192.168.1.0/24.
--
Il problema è che, in questa epoca di grande comunicazione globale,
quando ti fa male il culo non è per le emorroidi... (Beppe Grillo)
connessione alla lan con in mezzo una vpn
Buongiorno a tutti, premetto che di routing ci capisco pochino. Ho un piccolo computer che viene esposto su internet attraverso una vpn perché ha necessità di avere un IP statico utilizzando un provider vpn che usa openvpn. Questo computer è in una rete locale casalinga. La situazione del router è una cosa come questa: admin@server:~$ ip r 0.0.0.0/1 via 94.190.57.1 dev tun0 default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.125 metric 202 94.190.57.0/24 dev tun0 proto kernel scope link src 94.190.57.54 94.190.58.253 via 192.168.1.1 dev eth0 128.0.0.0/1 via 93.190.51.1 dev tun0 192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.125 metric 202 Con questa configurazione non riesco a raggiungere dei servizi presenti sulla rete locale (come ad esempio un log server) se non fermando la vpn, collegandomi al servizio e poi riattivare la vpn. La configurazione della connessione vpn è una cosa così: `' proto tcp-client remote providervpn.com 443 # non-stadard port for OpenVPN dev tun ignore-unknown-option ip-win32 dynamic 0 ip-win32 dynamic 0 nobind persist-key tls-client remote-cert-tls server verify-x509-name providervpn.com name verb 3 cipher AES-256-CBC auth SHA1 pull auth-user-pass providervpn-pass.txt #if connection is terminated, it will attempt to connect without promting username and pass auth-retry nointeract redirect-gateway def1 `' -- ciao leandro
