Dubbio su connessione VPN tramite router con IP pubblico

[dMajo]

Fin qui tutto ok, dal NAS remoto pingo 10.8.0.6 (client OpenVPN) senza rotte statiche necessarie.

Ovvio, direttamente connessi.

Non riesco però, ad esempio, a pingare l'IP LAN dello stesso client (192.168.0.103) nonostante abbia disattivato il firewall su client.

Ovvio, perche il nas manda il ping su 192.168.0.103 al proprio router (.10.254) che non sa cosa farsene

Ho provato a creare questa rotta sul NAS ma non funziona (ipotizzo di istradare per ora solo 192.168.0.103):

Codice: Seleziona tutto

route add -net 192.168.0.103/32 dev tun0

Dove tun0 è l'interfaccia tunnel sul NAS creata da OpenVPN server.

Non conosco la sintassi per le rotte su linux, approfondirò. ... ... ... EDIT: una breve googlata http://www.cyberciti.biz/faq/linux-route-add/ http://www.thegeekstuff.com/2012/04/route-examples/

La rotta inserita sul nas, se veramente tun0 è l'interfaccia del tunnel, potrebbe esser giusta, forse manca l'indicazione del gateway 10.8.0.6 (ip del client assegnato da openvpn). Ovvero, tutto il traffico destinato al 192.168.0.103 deve esser consegnato a 10.8.0.6, che poi ci pensa lui (con le proprie rotte) ad instradarlo avanti.
(Scusa, non capisco la ragione di dover pingare il 192.168.0.103 che è la stesa cosa che 10.8.0.6. Se devi fare un rdp lo puoi fare su quest'ultimo non cambia nulla, è la stessa macchina con più IP.)

Diciamo che la rotta più corretta sul nas sarebbe

Codice: Seleziona tutto

192.168.0.0/24 gtw 10.8.0.6 tun0 (o qualcosa di simile)

Tu dal nas vorrai pingare un altro pc adiacente a quello dell'endpoint del tunnel, che già puoi raggiungere con 10.8.0.6 ... o mi sfugge qualcosa?
Poi estendendo il concetto, certamente non vorrai farlo dal nas, bensi da un PC locale es 192.168.10.100 che pinga 10.8.0.6(192.168.0.103) o qualcos'altro tipo 192.168.0.123 (una stampante di rete li presente) ... sbaglio?

In più come ga ribadito diverse volte, se 192.168.10.100 pinga 192.168.0.123:
- 192.168.10.100 deve sapere (avere una rotta) che il traffico 192.168.0.0/24 va inoltrato al nas (192.168.10.2) OPPURE al router 192.168.10.254, che sapendo cosa fare (avendo una rotta) lo girerà al nas
- il nas deve sapere che la 192.168.0.0/24 si trova a valle del 10.8.0.6
- 10.8.0.6, grazie alle proprie rotte, consegnerà direttamente al 192.168.0.123 presente localmente attraverso l'interfaccia 192.168.0.103
- 192.168.0.123 nel rispondere a 192.168.10.100 (estraneo alle lan locali) o ha una rotta per consegnare tale traffico al 192.168.0.103 oppure lo manda al router (default gateway in assenza di rotte specifiche) che poi deve avere una rotta per girarlo a 192.168.0.103
- 192.168.0.103 ricevuta la risposta da 192.168.0.123 destinata a 192.168.10.100 grazie alla rotta 192.168.10.0/24 gtw 10.8.0.5 if 10.8.0.6 lo consegnerà al nas che poi via 192.168.10.2 lo invierà a 192.168.10.100
Questa è la teoria (e la pratica) su come configurare tutti i nodi interessati nel percorso, salvo che non ci siano indirizzi nattati. Se sono nattati 1:1 non è un problema, basta conoscerli e considerarli nelle rotte, altrimenti diciamo che non funziona.

[davide80]

(Scusa, non capisco la ragione di dover pingare il 192.168.0.103 che è la stesa cosa che 10.8.0.6. Se devi fare un rdp lo puoi fare su quest'ultimo non cambia nulla, è la stessa macchina con più IP.)

Era giusto una prova per capire come funziona il sistema.

Tu dal nas vorrai pingare un altro pc adiacente a quello dell'endpoint del tunnel, che già puoi raggiungere con 10.8.0.6 ... o mi sfugge qualcosa?
Poi estendendo il concetto, certamente non vorrai farlo dal nas, bensi da un PC locale es 192.168.10.100 che pinga 10.8.0.6(192.168.0.103) o qualcos'altro tipo 192.168.0.123 (una stampante di rete li presente) ... sbaglio?

In realtà mi serve proprio che il NAS raggiunga un PC (server Win IP 192.168.0.200) sulla rete locale del cliente OpenVPN (192.168.0.103), perché monto sfrutto un servizio del webserver del NAS per collegarmi ad una risorsa HTTP sulla rete locale aziendale.

192.168.0.0/24 gtw 10.8.0.6 tun0 (o qualcosa di simile)

non dovrei mettere come gw 10.8.0.1 che è appunto il gw del tunnel OpenVPN? Forse è proprio qui che sbaglio.

[dMajo]

192.168.0.0/24 gtw 10.8.0.6 tun0 (o qualcosa di simile)

non dovrei mettere come gw 10.8.0.1 che è appunto il gw del tunnel OpenVPN? Forse è proprio qui che sbaglio.

Scusa, il gateway nella tua lan è il pc (la sua nic) o il router (l'apparecchiatura che instrada il traffico nella wan; dotata di due ip uno sulla lan e l'altro sulla wan)?
Allo stesso modo la rotta del nas per raggiungere i nodi della rete remota deve avere come gateway il pc remoto li presente, ovviamente con l'indirizzo che riesce a vedere, quindi non quello locale ma quello assegnato dal server vpn.
Questo diventa più difficile da realizzare in modo automatico vista la natura dinamica della connessione openvpn (l'assegnazione dell'ip al client).

Tu dal nas vorrai pingare un altro pc adiacente a quello dell'endpoint del tunnel, che già puoi raggiungere con 10.8.0.6 ... o mi sfugge qualcosa?
Poi estendendo il concetto, certamente non vorrai farlo dal nas, bensì da un PC locale es 192.168.10.100 che pinga 10.8.0.6(192.168.0.103) o qualcos'altro tipo 192.168.0.123 (una stampante di rete li presente) ... sbaglio?

In realtà mi serve proprio che il NAS raggiunga un PC (server Win IP 192.168.0.200) sulla rete locale del cliente OpenVPN (192.168.0.103), perché monto sfrutto un servizio del webserver del NAS per collegarmi ad una risorsa HTTP sulla rete locale aziendale.

Allora, visto che il nas deve accedere al server win, installa il client openvpn sul server su questa macchina, così potrà esser raggiunta senza alcuna rotta aggiuntiva essendo direttamente connessa al nas.



Non conosco (ne capisco) la tua applicazione (e forse è meglio così) ... ma torno a ribadire, queste cose si fanno con i due siti connessi in vpn statica (lan2lan) di norma realizzata fra i due router.

[davide80]

Non conosco (ne capisco) la tua applicazione (e forse è meglio così) ... ma torno a ribadire, queste cose si fanno con i due siti connessi in vpn statica (lan2lan) di norma realizzata fra i due router.

Chiarissimo. Ma è proprio perché non posso accedere ed installare nulla su quel server.
Posso solo usarlo per fare richieste HTTP (con risposta JSON) senza autenticazione.

Grazie di tutto cmq!

[dMajo]

Ma è proprio perché non posso accedere ed installare nulla su quel server.

Chiedi all'amministratore.
Se l'utilizzo è lecito è motivato, non credo avrà problemi a configurare una vpn statica fra i firewall/routers aziendali ed il router locale al nas. Anzi, così potrà anche controllare il traffico nella vpn (come quali ip locali al nas possono accedere a quelli locali al server e viceversa, controllandone protocolli e porte utilizzate... insomma nella vpn passa solamente quanto strettamente necessario) ed assicurare la sicurezza e inviolabilità aziendale.

Già mi meraviglio come tu sia riuscito a tirar su la vpn.
Un amministratore scaltro prima cosa che blocca sono vpn e proxy, altrimenti con tutti i servizi vpn di anonimato esistenti tutti gli utenti potrebbero bypassare le policy aziendali in materia di controllo della navigazione (es. divieto su siti porno, social, armi, droga, pirateria, file sharing ... non consoni all'attività aziendale, che oltre a portare virus consumano inutilmente la banda).
I firewall non possono ispezionare il traffico incapsulato e crittografato all'interno delle vpn, ma quelli "diciamo buoni" possono rilevarle (anche se configurate impropriamente, su porte 80/443 sempre aperte in uscita, per eludere i blocchi) e quindi impedirne la creazione.