Negozio Synology prezzi bassi

IPVanish e server VPN contemporaneamente

Re: IPVanish e server VPN contemporaneamente

Messaggioda dMajo » lunedì 7 settembre 2015, 2:36

ponzo79 ha scritto:Vuoi dire che se il nas è impostato con i dns del mio isp, quest'ultimo puó vedere a quali siti/server mi connetto anche se sto in VPN?

Ti faccio un esempio:
Normalmente sul nas puoi settare come dns il router. Il router fara da proxy e ti fara usare i dns del IPS assegnati alla wan via dhcp. Sul nas hai attiva la vpn dove si suppone venga instradato tutto il traffico.
Bene, quello dns uscirà in chiaro in quanto essendo il dns 192.168.0.1 (il router) sulla stessa lan del nas (192.168.0.10) non c'è bisogno di alcun gateway, il traffico (la richiesta di risoluzione) verrà mandato direttamente al router che lo girerà ai dns dell'ISP. Chi sniffa/logga il traffico della tua wan lo vedrà passare in chiaro.
Nello specifico poi non so esattamente come si comporti il client vpn del nas e come il nas (linux) poi instradi il traffico ... non l'ho mai usato personalmente.

Per quanto attiene il discorso porte...sembrerà strano ma sta funzionando con tutte le porte del router chiuse....e per sicurezza ho settato ad hoc il firewall del nas....

Non è affatto strano, il client vpn genera traffico in uscita e siccome l'impostazione di default dei firewall generalmente lascia uscire tutto il client riesce a creare il tunnel verso il server vpn. Nel caso tu tenessi il fw chiuso anche in uscita dovresti tuttalpiù aprire un paio di porte. Li ti renderesti conto che nonostante l'unica porta aperta riesci a fare tutto perche quella aperta serve a sostenere il tunnel, poi dentro ci passa tutto senza che tu possa controllarlo.
Questo non è un problema quando controlli entrambi gli endpoint (es vpn fra due uffici tuoi) ma nel caso delle vpn di anonimato uno degli endpoint in prima battuta è il tuo provider con la sua struttura informatica ed il suo personale. E poi tutta internet.

Ho acquistato in asus rt-ac68u che ha server e client integrati...vediamo quando arriva...

Oltre ad avere un client vpn (il server ti serverà eventualmente per connetterti da remoto) con diversi protocolli supportati (l2TP, openVPN, ipsec, ...) deve poi avere anche regole sufficientemente parametrizzatili (indirizzo sorgente, indirizzo destinazione, porta sorgente, porta destinazione, protocollo, ...) che ti permettano di instradare a piacimento le varie tipologie di traffico. Non so quanto asus, notoriamente dedicata al mondo "game" sia sensibile a queste questioni.

Io ho trovato un buon compromesso con i Draytek 2830 ADSL2+/2860 VDSL2/ADSL2+/2760Delight VDSL2/ADSL2+ che sono anche la mia prima scelta per i branch-office e telelavoratori. Nell'enterprise uso invece watchguard XTM5 in cluster. Sono ottimi anche i Sonicwall.

Per uso domestico (avanzato) potresti eventualmente considerare un Watchguard XTM3 oppure un pfSense SG2440/SG4860 perche anche costruendotelo come a fatto Wolf non risparmieresti poi molto (considerando la Supermicro che saranno 350/450€+RamECC+SSD+alimentatore+case+ lo sbattimento di assemblare il tutto e l'installazione del sw opensource con ciò che comporta).
I watchguard/sonicwall/pfsense sono firewall(router) puri (solo ethernet, richiedono modem esterni)
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: IPVanish e server VPN contemporaneamente

Messaggioda ponzo79 » lunedì 7 settembre 2015, 12:04

Ti faccio un esempio:
Normalmente sul nas puoi settare come dns il router. Il router fara da proxy e ti fara usare i dns del IPS assegnati alla wan via dhcp. Sul nas hai attiva la vpn dove si suppone venga instradato tutto il traffico.
Bene, quello dns uscirà in chiaro in quanto essendo il dns 192.168.0.1 (il router) sulla stessa lan del nas (192.168.0.10) non c'è bisogno di alcun gateway, il traffico (la richiesta di risoluzione) verrà mandato direttamente al router che lo girerà ai dns dell'ISP. Chi sniffa/logga il traffico della tua wan lo vedrà passare in chiaro.
Nello specifico poi non so esattamente come si comporti il client vpn del nas e come il nas (linux) poi instradi il traffico ... non l'ho mai usato personalmente.


quindi intendi dire che il nas, nonostante sia in vpn e nonostante l'impostazione sia quella di utilizzare come gateway il server della vpn, utilizza come dns quelli impostati di default e quindi nel mio caso quelli del mio isp?
ma se il gateway è quello del server vpn non dovrebbe utilizzare quelli del server vpn?
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
Avatar utente
ponzo79
Utente
Utente
 
Messaggi: 1099
Iscritto il: martedì 24 gennaio 2012, 10:25

Re: IPVanish e server VPN contemporaneamente

Messaggioda Wolf » lunedì 7 settembre 2015, 16:19

ponzo79 ha scritto:
dMajo ha scritto:.
BISOGNA però fare un'analisi a 360° quando la si implementa: è inutile scaricare da pippo.net via vpn e risolvere però l'ip di pippo.net sui dns di alice o google con query in chiaro dalla wan. L'ISP non potrà vedere il traffico nella vpn ma in base alle risoluzioni dns viste sicuramente immaginerà cosa vi stia passando.


Vuoi dire che se il nas è impostato con i dns del mio isp, quest'ultimo puó vedere a quali siti/server mi connetto anche se sto in VPN?

Per quanto attiene il discorso porte...sembrerà strano ma sta funzionando con tutte le porte del router chiuse....e per sicurezza ho settato ad hoc il firewall del nas....

Ho acquistato in asus rt-ac68u che ha server e client integrati...vediamo quando arriva...


Il mio VPN provider mette a disposizione un proprio server DNS ed io vieto, tramite firewall, qualsiasi richiesta di DNS differenti ai client sotto VPN.

Comunque è buona norma non usare i server DNS del proprio ISP, meglio opendns.
- GTW: pfSense 2.4 - SuperMicro A1SRi-2558 - 8GB RAM ECC - SSD Intel S3500 80GB (autocostruito) ISP: VDSL2 Tiscali (100/20) IP: Public
- AP: Netgear R7000 (Stock FW)
- SWC: Cisco SG350-10
- NAS: Synology DS1515+ DSM 6.1 (5 x WD50EFRX) 16GB RAM
- NAS: Synology DS213+ DSM 5.2 (2 x ST3000DM001)
-CLI: Laptop Alienware 17R2 W7 64bit
- Altro: HTPC: Intel NUC5i3RYH, PS4
Wolf
Utente
Utente
 
Messaggi: 226
Iscritto il: mercoledì 5 dicembre 2012, 13:45

Re: IPVanish e server VPN contemporaneamente

Messaggioda Wolf » lunedì 7 settembre 2015, 16:28

dMajo ha scritto:
Per uso domestico (avanzato) potresti eventualmente considerare un Watchguard XTM3 oppure un pfSense SG2440/SG4860 perche anche costruendotelo come a fatto Wolf non risparmieresti poi molto (considerando la Supermicro che saranno 350/450€+RamECC+SSD+alimentatore+case+ lo sbattimento di assemblare il tutto e l'installazione del sw opensource con ciò che comporta).
I watchguard/sonicwall/pfsense sono firewall(router) puri (solo ethernet, richiedono modem esterni)


Consiglio vivamente i modelli SG2440/SG4860. pfSense è un ottimo gateway/firewall e con il giusto hardware (come quello consigliato) in teoria gestisci connessioni (WAN-NAT-LAN) a 1000Mbps...test in laboratorio hanno spinto queste unità prossime ai 900Mbps.
Il SOC supporta le istruzioni AES-NI e nel prossimo futuro con l'uso degli algoritmi AES-GCM anche con OpenVPN saranno una bomba.

Esatto, acquistarli costa come auto assemblarli, forse anche meno....ma io assemblai il mio ben prima che uscissero con Soc C2358/2558. Il mio gateway di soli componenti lo pagai vicino ai 600€, la sola MB circa 300€....ma amo fare queste cose, da ragazzo, per fare qualche soldo all'università assemblavo PC ;)
Ultima modifica di Wolf il martedì 8 settembre 2015, 11:47, modificato 1 volta in totale.
- GTW: pfSense 2.4 - SuperMicro A1SRi-2558 - 8GB RAM ECC - SSD Intel S3500 80GB (autocostruito) ISP: VDSL2 Tiscali (100/20) IP: Public
- AP: Netgear R7000 (Stock FW)
- SWC: Cisco SG350-10
- NAS: Synology DS1515+ DSM 6.1 (5 x WD50EFRX) 16GB RAM
- NAS: Synology DS213+ DSM 5.2 (2 x ST3000DM001)
-CLI: Laptop Alienware 17R2 W7 64bit
- Altro: HTPC: Intel NUC5i3RYH, PS4
Wolf
Utente
Utente
 
Messaggi: 226
Iscritto il: mercoledì 5 dicembre 2012, 13:45

Re: IPVanish e server VPN contemporaneamente

Messaggioda dMajo » martedì 8 settembre 2015, 9:05

ponzo79 ha scritto:
Ti faccio un esempio:
Normalmente sul nas puoi settare come dns il router. Il router fara da proxy e ti fara usare i dns del IPS assegnati alla wan via dhcp. Sul nas hai attiva la vpn dove si suppone venga instradato tutto il traffico.
Bene, quello dns uscirà in chiaro in quanto essendo il dns 192.168.0.1 (il router) sulla stessa lan del nas (192.168.0.10) non c'è bisogno di alcun gateway, il traffico (la richiesta di risoluzione) verrà mandato direttamente al router che lo girerà ai dns dell'ISP. Chi sniffa/logga il traffico della tua wan lo vedrà passare in chiaro.
Nello specifico poi non so esattamente come si comporti il client vpn del nas e come il nas (linux) poi instradi il traffico ... non l'ho mai usato personalmente.


quindi intendi dire che il nas, nonostante sia in vpn e nonostante l'impostazione sia quella di utilizzare come gateway il server della vpn, utilizza come dns quelli impostati di default e quindi nel mio caso quelli del mio isp?
ma se il gateway è quello del server vpn non dovrebbe utilizzare quelli del server vpn?


Cerco di spiegarmi meglio ... non e il nas ma il routing in generale.
Avevo detto che se al nas imposti come server dns l'ip del router il router facendo da proxy instradera le richieste ai dns che il tuo isp gli ha fornito via dhcp nel configurare l'ip della wan. Se cosi fosse anche se tu usassi la vpn sul nas le richieste dns (destinate a 192.168.0.1 ip router) verrebbero dal nas (192.168.0.100) mandate sempre fuori vpn in quanto la comunicazione fra dispositivi della stessa lan non richiede gateway ... e' p2p.
Se sul pc cancelli il campo del gateway non potrai andare in internet ma potrai comunicare con tutta la rete locale.
Se sul nas imposti come dns 8.8.8.8 essesdo questo esterno alla lan dovra per forza servirsi di gateway per raggiungerlo. In questo caso a seconda delle rotte e la loropriorita la richiesta potrebbe andare via vpn se attiva.

Funziona cosi: quando un nodo delle rete deve parlare ad un altro della stessa rete (determinabile dal ip del destinatario e la propria network mask) il pacchetto viene inviato direttamente al destinatario (nel header l' ip destinazione e quello del destinatario). Altrimenti se l' ip e' esterno alla rete a seconda delle rotte conosciute dal mittente il pacchetto verra spedito ad un altro nodo (gateway definito dalla rotta) o in assenza della rotta al default gateway (che sicuramente avra un minimo di rotte sufficienti quantomeno ad iniltrarlo al prossimo gateway).
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: IPVanish e server VPN contemporaneamente

Messaggioda dMajo » martedì 8 settembre 2015, 9:19

Wolf ha scritto:Consiglio vivamente i modelli SG2440/SG4860. ...

Esatto, acquistarli costa come auto assemblarli, forse anche meno....ma io assemblai il mio ben prima che uscissero con Soc C2358/2558. Il mio gateway di soli componenti lo pagai vicino ai 600€, la sola MB circa 300€....ma amo fare queste cose, da ragazzo, per fare qualche soldo all'università assemblavo PC ;)

Io nel 90% dei casi continuo ancora a preferire un Vigor2860/2830/2760delight. Ha caratteristiche enterprise ad un prezzo notevolmente inferiore e senza dover assemblare ed installare nulla. E' vero che va configurato e per le caratteristiche avanzate qualche nozione ci vuole. M ci non e' in grado di configurare un Draytec tanto meno sara in grado di assemblare un pfsense.
Tutti poi watchguard sonicwall pfsense girano su una qualche versione di linux e il fatto che siano prodotti commerciali e'dovoto alla vendita del hw e la manutenzione/personalizzazione che mettono su un sistema che di base e' gpl. pfsense da questo punto di vista e' l'ultimo arrivato ed anche nello sviluppo e' un progetto open source. Mi chiedo quali siano i tempi di reazione dell'assistenza tecnica nel risolvere le rogne. Watchguard da questo punto di vista e'molto solerte .. ne va del suo business.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: IPVanish e server VPN contemporaneamente

Messaggioda ponzo79 » mercoledì 9 settembre 2015, 22:03

dMajo ha scritto:
ponzo79 ha scritto:
Ti faccio un esempio:
Normalmente sul nas puoi settare come dns il router. Il router fara da proxy e ti fara usare i dns del IPS assegnati alla wan via dhcp. Sul nas hai attiva la vpn dove si suppone venga instradato tutto il traffico.
Bene, quello dns uscirà in chiaro in quanto essendo il dns 192.168.0.1 (il router) sulla stessa lan del nas (192.168.0.10) non c'è bisogno di alcun gateway, il traffico (la richiesta di risoluzione) verrà mandato direttamente al router che lo girerà ai dns dell'ISP. Chi sniffa/logga il traffico della tua wan lo vedrà passare in chiaro.
Nello specifico poi non so esattamente come si comporti il client vpn del nas e come il nas (linux) poi instradi il traffico ... non l'ho mai usato personalmente.


quindi intendi dire che il nas, nonostante sia in vpn e nonostante l'impostazione sia quella di utilizzare come gateway il server della vpn, utilizza come dns quelli impostati di default e quindi nel mio caso quelli del mio isp?
ma se il gateway è quello del server vpn non dovrebbe utilizzare quelli del server vpn?


Cerco di spiegarmi meglio ... non e il nas ma il routing in generale.
Avevo detto che se al nas imposti come server dns l'ip del router il router facendo da proxy instradera le richieste ai dns che il tuo isp gli ha fornito via dhcp nel configurare l'ip della wan. Se cosi fosse anche se tu usassi la vpn sul nas le richieste dns (destinate a 192.168.0.1 ip router) verrebbero dal nas (192.168.0.100) mandate sempre fuori vpn in quanto la comunicazione fra dispositivi della stessa lan non richiede gateway ... e' p2p.
Se sul pc cancelli il campo del gateway non potrai andare in internet ma potrai comunicare con tutta la rete locale.
Se sul nas imposti come dns 8.8.8.8 essesdo questo esterno alla lan dovra per forza servirsi di gateway per raggiungerlo. In questo caso a seconda delle rotte e la loropriorita la richiesta potrebbe andare via vpn se attiva.

Funziona cosi: quando un nodo delle rete deve parlare ad un altro della stessa rete (determinabile dal ip del destinatario e la propria network mask) il pacchetto viene inviato direttamente al destinatario (nel header l' ip destinazione e quello del destinatario). Altrimenti se l' ip e' esterno alla rete a seconda delle rotte conosciute dal mittente il pacchetto verra spedito ad un altro nodo (gateway definito dalla rotta) o in assenza della rotta al default gateway (che sicuramente avra un minimo di rotte sufficienti quantomeno ad iniltrarlo al prossimo gateway).


ho fatto come mi hai consigliato....però devo dire che ho fatto delle prove e la cosa non mi torna.....
ti spiego meglio, sul telefono ho impostato di default il router come gateway e anche come dns, ed in effetti se testo i dns (dns leak test) esco con i dns del router. Ma se connetto il telefono alla vpn, non usa più i dns del router, ma bensì dei dns che suppongo essere della vpn
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
Avatar utente
ponzo79
Utente
Utente
 
Messaggi: 1099
Iscritto il: martedì 24 gennaio 2012, 10:25

Re: IPVanish e server VPN contemporaneamente

Messaggioda dMajo » giovedì 10 settembre 2015, 0:47

Non conosco il mondo Apple. Ciò detto praticamente ogni sistema, al di la delle rotte di loopback (127.0.0.0) e qualche multicast (224.0.0.0) ha fondamentalmente 4 rotte date dalla parametrizzazione della nic. Ad esempio il tuo pc (192.168.0.20) con default gtw il router (192.168.0.1) dovrebbe avere:
Codice: Seleziona tutto
adr          mask                     gtw              if              metric
0.0.0.0          0.0.0.0              192.168.0.1      192.168.0.20    xx
192.168.0.0      255.255.255.0       (192.168.0.20)    192.168.0.20    xx
192.168.0.20     255.255.255.0       (192.168.0.20)    192.168.0.20    xx
255.255.255.255  255.255.255.255     (192.168.0.20)    192.168.0.20    xx

tranne la prima le altre indicano come gateway (il proprio ip) che avolte è visualizzato, a volte no ed a volte indicato come on-link. Di fatto sempre la stessa cosa, il proprio ip o gateway assente se vuoi.
Quando comunichi con un dispositivo della tua lan (rilevabile dall'ip destinazione e propri ip/networkmask) il traffico segue la rotta (2)192.168.0.0/24 e viene mandato direttamente al destinatario (il nodo addiacente.)
Se invece il destinatario è esterno alla lan non essendoci altre rotte specifiche viene applicata la (1)0.0.0.0 generica mandando il traffico al gateway che avrà altre rotte per instradarlo ulteriormente (nella wan in caso di router domestico).
La 3 è la rotta di loopback del proprio ip mentre la 4 e quella di broadcast. La metrica indica la priorità (costo) delle rotte: ad esempio di due rotte con stessa destinazione adr/mask (e generalmente gateway diversi) verrà sempre applicata quella con metrica migliore (minor costo: es. meno dispositivi router (hop) da attraversare o più veloce), l'altra sarà il percorso alternativo di backup; mentre due metriche identiche dovrebbero fare da load-balancing.

Ora quando abiliti il client-vpn generalmente ottieni un altro ip dato dal server vpn (es. 10.0.0.2) ed il SO la vede come una "seconda" nic virtuale equiparata a quella fisica. Di fatto logicamente è a valle di quella fisica in quanto il cavo virtuale (il tunnel) attraverso la scheda fisica passa nel cavo fisico. Nelle applicazioni comuni il client-vpn, perchè istruito dal server-vpn, configura delle rotte addizionali affinche il pc vi possa instradare il traffico. Tali rotte corrispondono agli ip che si trovano dall'altra parte. In caso di anonimizzazione dall'altra parte dopo la struttura del provider si trova internet. Quindi non conoscendo le esigenze (destinazioni desiderate) specifiche sarà una rotta generica:
Codice: Seleziona tutto
0.0.0.0          0.0.0.0              10.0.0.1         10.0.0.5        xx
10.0.0.0         255.255.255.0       (10.0.0.5)        10.0.0.5        xx
10.0.0.5         255.255.255.0       (10.0.0.5)        10.0.0.5        xx
1.2.3.4          255.255.255.0        192.168.0.1      192.168.0.20    xx

Nuovamente la 2 e 3 sono tecniche, mentre la prima instrada ora tutto il traffico nel tunnel a patto che la metrica sia migliore dell'altra 0.0.0.0. La 4 garantisce la sostenibilità del tunnel, ovvero che server e client per tenerlo in piedi si parlino in chiaro. Se il traffico (non quello incapsulato, ma il tunnel stesso) di gestione finisse dentro il tunnel non sarebbe in grado di comunicare con l'ip pubblico del server ergo il tunnel cadrebbe (cane che si morde la coda).

Ciò detto se il client nella lan comunica con un nodo adiacente non dovrebbe esserci bisogno di alcun gateway e la rotta 192.168.0.0/24 dovrebbe prevalere anche su quelle impostate dal client-vpn. Prova a pingare il router o il nas con vpn attiva. Se TUTTO il traffico fosse instradato nel tunnel non dovresti avere risposta in quanto si presume che nell'infrastruttura del provider non vi sia lo stesso indirizzo o ad ogni modo dovresti rilevarlo dalla latenza (durata del ping) che sara nell'ordine del millisecondo se la risposta proviene dalla lan piuttosto che diverse decine o centinaia nel caso venga da qualche nodo all'altro capo della vpn.
Effettivamente però queste priorità sono gestibili dall'impostazione delle metriche delle interfacce, gateway e binding (win), non ho mai approfondito il mondo dei cel ne conosco a sufficienza linux. E importante però che l'utente conosca l'aspetto tecnico (almeno di base) in modo che possa fare gli opportuni test e cautelarsi.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: IPVanish e server VPN contemporaneamente

Messaggioda marco.zamboni » martedì 18 ottobre 2016, 15:47

Ciao Ragazzi, volevo ringraziarvi per le dritte date.

Ho assemblato anche io un router pfsense funzionante sul quale ho 4 NIC 1Wan - 1 rete per lo studio - 1 rete per casa - 1 per gli ospiti in hotspot. Nella configurazione attuale ho attivato un server OpenVPN (sulla worknet) tramite il quale accedo da remoto alla mia rete dello studio senza problemi e sulla stessa rete ho il NAS. Effettivamente quando carico il client di IPVANISH navigo con tutte le reti in Vpn perfettamente ma mi blocca l'accesso dall'esterno al server VPN di PFsense. Ho allora acquistato PIA Vpn perchè come da voi consigliata ha si può fare il port forwarding, sono riuscito ad installare la VPN perfettamente (testata sul sito del fornitore) ma onestamente non ho la più pallida idea di come fare ad usare il server VPN attivo in Pfsense infatti attivando PIA Vpn non riesco più ad accedere al Server VPN.

Vi chiedo un grande aiuto, magari una guida, per configurare correttamente il port forwarding in pfsense e in PIA VPN (ho visto on-line ed ho capito che non è per niente facile !) in per far funzionare correttamente il server VPN anche se dietro a PIA VPN e connettermi tranquillamente alla mia worknet da remoto.

Grazie in anticipo a tutti

PS

Se avete da consigliarmi anche diverse configurazione del mio PFsense saranno bene accette ! :-)
marco.zamboni
Utente
Utente
 
Messaggi: 1
Iscritto il: martedì 18 ottobre 2016, 15:21

Precedente

Torna a VPN e PROXY di anonimizzazione

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti