Buongiorno

Vi spiego in breve il mio problema, ho una rete lan composta da 6 pc che fanno capo ad un router adsl che fa anche da dhcp con indirizzo 192.168.1.1
Questo router è di un gestore ed è bloccato e per dei servizi che ho deve rimanere cosi e i pc in lan devono assolutamente avere lui come gateway.
Io avrei la necessità di creare una vpn con un client dall'esterno ma come già spiegato non posso mettere nemmeno un firewall sotto questo router perchè appunto da gestore il router non permette accessi dall'esterno.
Bene io ho nello stesso ufficio una adsl secondaria alice con ip statico che non è mai stata usata e mai stata messa in lan, io ho settato il router alice con 192.168.2.1 e sotto ho meso il mio zywall 2 plus con ip 192.168.1.235, ho nattato tutto dal router al firewall e ho disabilitato il dhcp del firewall, ho settato il client zyxel dall'esterno e quando apro il tunnel tutto va a buon fine mi collego e riesco dal client a collegarmi anche al firewall all'indirizzo 192.168.1.235 lo pingo ecc ma non riesco in alcun modo a vedere i pc in lan, questo da cosa può dipendere?
Ho già verificato che le subnet siano identiche che la classe da cui mi connego con il client sia diversa da quella della lan.
Non so proprio cosa può esserci, l'unica cosa che mi viene in mente è che i pc in lan fanno capo come gateway al router non modificabile e non al mio firewall.

Qualcuno ha idee?

Grazie

Mi sono dimenticato di aggiungere alcune cose, a me in lan interessa entrare per poter lavorare su un piccolo server e basta, la mia idea in definitiva sarebbe quella di entrare in lan con l'adsl alice che lo permette poi una volta dentro il pc client dovrebbe uscire attraverso il router 192.168.1.1 perchè per lavorare necessito assolutamente di uscire in internet ma con il router "bloccato".

A questo punto ci sto quasi rinunciando non vedo soluzioni e stavo valutando anche di fare una piccola rete hamachi e collegarmi in desktop remoto....

aiutooooo

puoi risolvere la questione con delle rotte statiche sui pc interessati.

puoi risolvere la questione con delle rotte statiche sui pc interessati.

in che modo?


poi riuscirei con il client remoto a collegarmi al server e quando richiesto uscire attraverso il router 192.168.1.1??

in che modo?
http://www.howtogeek.com/howto/windows/adding-a-tcpip-route-to-the-windows-routing-table/

poi riuscirei con il client remoto a collegarmi al server e quando richiesto uscire attraverso il router 192.168.1.1??



se le route sono settate correttamente si

http://www.howtogeek.com/howto/windows/adding-a-tcpip-route-to-the-windows-routing-table/





se le route sono settate correttamente si

Ho letto tutto il link... però non riesco a capire come impostarlo per lac mia situazione, mi sapresti aiutare? le devo impostare da firewall?

no sui pc (sul server da quanto ho capito). Devi postare uno schema di indirizzamento più preciso, per estrarre le rotte corrette.

Cioè faccio un esempio:

Client 192.168.10.10
\/
modem alice 87....
\/
Firewall wan 192.168.2.235
\/
Firewall lan 192.168.1.235 dhcp off
\/
Lan 192.168.1.X || Server 192.168.1.100
\/
Router e get 192.168.1.1 dhcp on


Ecco in pratica con la vpn arrivo fino a poter pingare il 192.168.1.235 e posso anche loggarmi ma non riesco ad andare oltre ne ping ne niente, ho provato a mettere dhcp anche al firewall per paura che non assegni l'ip al client ma non è questo il problema visto che il client riesce ad entrare nel firewall, non può essere la subnet.

Io sul client ho un software client/server che deve collegarsi al 192.168.1.100 e per confermare alcune operazioni deve andare in internet ma uscendo dal router 192.168.1.1 e non da quello di alice da dove proviene la vpn.
Premetto che il pc client lavora anceh in lan quando l'utente è in ufficio.

Non so più cosa fare, a livello vpn penso non ci siano problemi perche il tunnel è aperto e operativo, non so cosa sbaglio.....

devi dirgli che per raggiungere determinati ip, deve utilizzare il firewall invece che il gateway.

devi dirgli che per raggiungere determinati ip, deve utilizzare il firewall invece che il gateway.

eh però io come faccio a sapere che ip assegna il firewall al mio client remoto?


quindi in teoria se al mio client remoto il firewall assegna 192.168.1.20 cosa devo fare?
il mio server deve comunque continuare a lavorare normalmente...

ma una domanda non è che queste static route le devo modificare sul client e non sul server? cioè cambiarle ne senso che una volta in vpn deve andare a capire che il get è il 192.168.1.1?
non capisco

ho cercato un po in rete è il problema potrebbe essere il get inpostato statico sul server in 192.168.1.1 e questo mi potrebbe bloccare il ping, in teora dovrei mettere come get il 192.168.1.235 per farlo pingare però cosi facendo i pc in lan non lavorerebbero piu e cmq cosi facendo il server andrebbe a puntare il firewall e non il router per uscire.

devi dirgli che per raggiungere determinati ip, deve utilizzare il firewall invece che il gateway.



ma intendi che per raggiungere ad esempio gli ip 192.168.10.1 / 192.168.10.254 quindi la mia classe del pc remoto il server deve utilizzare il 192.168.1.235??
mettendo questa static route poi riesco a pingarlo? ma devo fare la route solo dalla parte server o anche dal client? posso mettere un range di ip o un ip preciso? il server poi ha la rete impostata con ip fisso e anche il geteway 192.168.1.1 lo posso lasciare giusto?

xp ha anche una config secondaria dell'ip può servire a qualcosa?

Io sul client ho un software client/server che deve collegarsi al 192.168.1.100 e per confermare alcune operazioni deve andare in internet ma uscendo dal router 192.168.1.1 e non da quello di alice da dove proviene la vpn.
Premetto che il pc client lavora anceh in lan quando l'utente è in ufficio.

la questione gira attorno all' indirizzo del pc e del suo gateway. Nel senso che se il pc non ha indirizzi appartente alla rete 192.168.1.0 non può avere gateway 192.168.1.1 , ma può raggiungere tale router se è in vpn.

la questione gira attorno all' indirizzo del pc e del suo gateway. Nel senso che se il pc non ha indirizzi appartente alla rete 192.168.1.0 non può avere gateway 192.168.1.1 , ma può raggiungere tale router se è in vpn.

ok è in vpn ma non lo raggiunge.... non capisco queste static route dove devo metterle :)

posta, per iniziare, un route print del client, con vpn attiva.

posta, per iniziare, un route print del client, con vpn attiva.

Il log che mi da il software zyxel giusto? quel log che chiama console.... dove vedo l'instradamento l'inizializzazione modulo ike ecc??

comunque ho riverificato ancora tutte le info e le subnet ecc sono ok!! tu comunque dici che il dhcp off del firewall non ha problemi giusto? pensi che devo fare un route dal pc verso la lan? nel senso

route ADD 192.168.10.0 MASK 255.255.255.0 192.168.1.1

perche è il pc che deve entrare no?

oppure

route ADD 192.168.1.0 MASK 255.255.255.0 192.168.10.1

nel server o nei client gia dentro la lan che vogliono comunicare con il client remoto?

no serve un route print del client, e anche un ipconfig

no serve un route print del client, e anche un ipconfig

come faccio

dal prompt dei comandi

dal prompt dei comandi

si ok...

Pero dell'ipconfig...

la configurazione della lan è: 192.168.10.30
255.255.255.0
192.168.10.235

212.216.112.112
151.99.125.2

per il log della vpn non so come fare

devi semplicemente postare l' output del comando route print (ma anche ipconfig /all), quando la vpn è già instaurata.

devi semplicemente postare l' output del comando route print (ma anche ipconfig /all), quando la vpn è già instaurata.

ok ora non ho la possibilità di farlo perchè non ho l'adsl giusta....appena torno a casa posto il tutto!!!!! questa sera tu ci sei qui oppure se hai una mail o qualcosa per sentirci più velocemente....per mex privato

http://yfrog.com/j2ipconfighj

http://yfrog.com/0eroutedjj


ecco

ma non c' è traccia di vpn attiva.

ma non c' è traccia di vpn attiva.

eppure il software è attivo e riesco ad entrare nel firewall...

nessuno ha idee?? sono fermo :(

Aggiornamento

Oggi ho provato a mettere al serverino in lan come gateway 192.168.1.235 ovvero l'ip del firewall invece che 192.168.1.1 e dal client remoto riesco a pingarlo riesco ad entrarci ecc ora funziona.


Il mio problema ora è capire come lasciare tutto inalterato sul server ovvero che continui ad avere come gateway il 192.168.1.1 ma che riesca ad avere anche il 192.168.1.235.... in più come faccio a dire al client remoto che entra in lan che il suo gateway di uscita quando lavora è il 192.168.1.1???

Grazie

nei post precedenti sono presenti le risposte.
Si tratta di istruire con delle rotte statiche gli host in questione ovvero client e server.
Il server deve sapere che per raggiungere l' ip tal_dei_tali deve utilizzare il firewall, mentre il client deve avere 2 regole del tipo:

0.0.0.0 /0 192.168.1.1
ip_del_server_vpn /32 gateway locale

di norma tale condizione si crea indicando al tunnel vpn di utilizzare il gateway remoto, lasciando fare al software le dovute modifiche.

nei post precedenti sono presenti le risposte.
Si tratta di istruire con delle rotte statiche gli host in questione ovvero client e server.
Il server deve sapere che per raggiungere l' ip tal_dei_tali deve utilizzare il firewall, mentre il client deve avere 2 regole del tipo:

0.0.0.0 /0 192.168.1.1
ip_del_server_vpn /32 gateway locale

di norma tale condizione si crea indicando al tunnel vpn di utilizzare il gateway remoto, lasciando fare al software le dovute modifiche.



in pratica come dovrei fare sapendo che:

Il server ha ip 192.168.1.150 e deve avere come gateway 192.168.1.1 e 192.168.1.235

Mentre il client remoto che ha ip 192.168.10.30 deve avere come gateway il 192.168.1.1

Ma intendi che l'instradamento vpn devo configurarlo dal firewall?? devo dire al firewall dove far puntare?? non capisco....


Scusa se continuo a far domande ma cose cosi specifiche non le ho mai fatte...

http://yfrog.com/5mgetoj


questo è quello che vedo in merito al geteway nel tunnel

la cosa funziona, in linea generale, pressoche cosi:
il client (che avrà un proprio indirizzo, diciamo privato), instaurerà (passando per il proprio router) un tunnel vpn con un VPN server (nel tuo caso un firewall), ricevendo un seput ip valido sulla rete privata virtuale.
Da questo momento in poi esistono 2 possibilità: aver come gateway quello della rete remota, con eventuali limitazioni che ne conseguono, oppure continuare a uscire dal proprio gateway. A te serve la prima opzione.
Lato server, che diciamo di trovi sulla lan, occorre fare una distinzione importante: se sei comunica con ip afferenti alla sua stessa lan (compresi i virtuali VPN) non occorre scomodare il gateway, in caso contrario, qualora si debba comunicare con host remoti specifici, passando per uno specifico gateway, occorre settare delle route statiche.

http://yfrog.com/5mgetoj


questo è quello che vedo in merito al geteway nel tunnel

lato server non occorre il gateway.

la cosa funziona, in linea generale, pressoche cosi:
il client (che avrà un proprio indirizzo, diciamo privato), instaurerà (passando per il proprio router) un tunnel vpn con un VPN server (nel tuo caso un firewall), ricevendo un seput ip valido sulla rete privata virtuale.
Da questo momento in poi esistono 2 possibilità: aver come gateway quello della rete remota, con eventuali limitazioni che ne conseguono, oppure continuare a uscire dal proprio gateway. A te serve la prima opzione.
Lato server, che diciamo di trovi sulla lan, occorre fare una distinzione importante: se sei comunica con ip afferenti alla sua stessa lan (compresi i virtuali VPN) non occorre scomodare il gateway, in caso contrario, qualora si debba comunicare con host remoti specifici, passando per uno specifico gateway, occorre settare delle route statiche.


ok quindi lato client penso che io debba modificare quella maschera che ti ho messo sopra, per il server allora secondo me basta che il client abbia come gateway il 192.168.1.1 e dovrebbe andar tutto perche penso che vedrebbe anche il server no?
in caso contrario penso che una route statica serva sul server perche in pratica il giro è: il client deve collegarsi al server ma poi quando deve uscire in internet deve farlo con il 192.168.1.1, è il client che esce non il server

lato server non occorre il gateway.

questa è la schermata di conf della vpn nel firewall....sul client sul suo software non posso modificare nulla

ok quindi lato client penso che io debba modificare quella maschera che ti ho messo sopra, per il server allora secondo me basta che il client abbia come gateway il 192.168.1.1 e dovrebbe andar tutto perche penso che vedrebbe anche il server no?
in caso contrario penso che una route statica serva sul server perche in pratica il giro è: il client deve collegarsi al server ma poi quando deve uscire in internet deve farlo con il 192.168.1.1, è il client che esce non il server

attenzione quando parlo di client e server VPN, parlo di 2 nodi precisi, di cui uno dovrebbe corrispondere con il client effettivo, mentre il server no.
Quindi per cominciare devi chiarire bene chi fa da server vpn e chi da client vpn, con rispettivi indirizzi.

attenzione quando parlo di client e server VPN, parlo di 2 nodi precisi, di cui uno dovrebbe corrispondere con il client effettivo, mentre il server no.
Quindi per cominciare devi chiarire bene chi fa da server vpn e chi da client vpn, con rispettivi indirizzi.

non capisco.

Io ho il mio client vpn che si collega da un router alice con ip 192.168.10.30
e si collega con il software zyxel.

Il server vpn è il mio firewall, il client si collega all'ip statico che lo reindirizza alla porta wan del firewall che è 192.168.2.235 che poi con le dovute regole lo passa alla lan 192.168.1.235.....

io dove setto tutte queste regole dei gateway??

ora la prima questione è capire come agisce questo software zyxel, ovvero che indirizzo ip vpn restituisce al client. Presumo, a questo punto, perchè dalla tabella di routing (e da ip config /all) che comunque dovresti riesceguire e ripostare, non emerge nulla, che si tratti di un indirizzo dall subnet della wan_interface del firewall, che si occupa poi del NAT. Se cosi fosse, sul client si potrebbe utilizzare come gateway remoto il firewall, e poi da qui creare regole specifiche.

ora la prima questione è capire come agisce questo software zyxel, ovvero che indirizzo ip vpn restituisce al client. Presumo, a questo punto, perchè dalla tabella di routing (e da ip config /all) che comunque dovresti riesceguire e ripostare, non emerge nulla, che si tratti di un indirizzo dall subnet della wan_interface del firewall, che si occupa poi del NAT. Se cosi fosse, sul client si potrebbe utilizzare come gateway remoto il firewall, e poi da qui creare regole specifiche.

ho riprovato a fare l'ipconfig ma non mi mostra ip...quindi penso gestisca tutto il firewall... ma dal client come faccio ad importare il gateway remoto? il software non mi fa inserire nessun gateway...

regole quindi dal firewall che indirizzano la vpn sul 192.168.1.1??? io non ho trovato nulla di tutto questo...

posso immaginare i 2 modi, sporchi, in cui possa venire gestita la cosa, ma dovresti guardare la documentazione, perchè posso fare solo supposizioni.

posso immaginare i 2 modi, sporchi, in cui possa venire gestita la cosa, ma dovresti guardare la documentazione, perchè posso fare solo supposizioni.

non so proprio come muovermi...mi sono gia letto il manuale ma non riesco a capire...

io sul firewall vedo un static route con nome destination gateway

vedo una nat con l'adess maping port forwarding e port triggering..

nella parte wan vedo anche un traffic redirect...boh

aiutoooo

se come penso (mi para che il ping sull' interfaccia wan del firewall funzioni) potrebbe (ma non è detto che sia cosi) bastare aggiungere sul client la rotta
route add 192.168.1.0 mask 255.255.255.0 indirizzo_del_firewall
a patto che il firewall sia in grado di arrivare alla rete 192.168.1.0

se come penso (mi para che il ping sull' interfaccia wan del firewall funzioni) potrebbe (ma non è detto che sia cosi) bastare aggiungere sul client la rotta
route add 192.168.1.0 mask 255.255.255.0 indirizzo_del_firewall
a patto che il firewall sia in grado di arrivare alla rete 192.168.1.0

non va il ping al 192.168.2.235...... che sarebbe la wan del firewall... e non va il comando

ma il firewall deve essere impostato come router o come bridge??

attualmente com' è settato?

attualmente com' è settato?

come router...

e come isp parameters for internet access nella pagina wan encapsulation ethernet e service type standard

in teoria sevho già in lan un altro router dovrei metterlo come bridge il firewall e impostare come suo ip

192.168.1.235
255.255.255.0
192.168.1.1

cosi lui punterà al router no?

però poi non so se gestisce ancora la vpn

Cioè in definitiva io ora ho capito più o meno che la vpn va...quello che manca è:


che il client remoto possa accedere al server.
e che abbia come gateway il router 192.168.1.1


le sto provando tutte....

Ho pensato un'altra cosa... e se al serverino interno alla lan mettessi un'altra sk di rete con ip ad esempio 192.168.1.151 quindi un num in piu rispetto al 192.168.1.150 il suo altro ip e come gateway 192.168.1.235 potrebbe funzionare? cioè poi dal client riuscirei a collegarmi e poi il serverino avrebbe il gateway all'1 per quand occorre... il problema è dire al client che il gateway è il 192.168.1.1


nessuno sa aiutarmi? mi sono letto il manuale del firewall ma non ho trovato nulla..nessuno sa dirmi come muovermi aiutooooo

ho provato a fare una static route sul fw

192.168.10.0 255.255.255.0 su 192.168.1.1

ma non va piu nulla poi


altra idea, sul serverino interno ho ip statico 192.168.1.150 se io mettessi come gateway primario 192.168.1.1 e secondario 192.168.1.235 nelle impostazioni di xp? oppure faccio una route statica dal serverino al 192.168.1.235??
potrebbe funzionare?

cioè poi il server sa che deve uscire sul 192.168.1.1?

192.168.10.0 255.255.255.0 su 192.168.1.1
questo tipo di route non ti serve, ed infatti non funziona, perchè il firewall fa da NAT (almeno cosi sembra) quindi fa presentare tutti sulla lan con il proprio Ip.

questo tipo di route non ti serve, ed infatti non funziona, perchè il firewall fa da NAT (almeno cosi sembra) quindi fa presentare tutti sulla lan con il proprio Ip.

Si la nat sembra farla...non vene nessuno in lan ma se ai pc metto il 192.168.1.235 come gateway va tutto bene!!!

Come mi consigli di procedere? sono due giorni che ci sto sbattendo la testa :(

Al client non riesco a impostare il 192.168.1.1 come gateway

E al serverino dovrei impostare anche il gateway 192.168.1.235 oltre al 1.1 per poterlo vedere dal client :(

Perchè cmq ora sto capendo quello che serve, in pratica il pc client remoto si deve collegare al serverino lavorare con un software client server per creare delle schede poi però per certificare queste schede deve farlo attraverso internet ma non la sua locale ma quella che offre il 192.168.1.1


dici che è una cosa fattibile oppure inizio a pensare a qualcosa tipo desktop remoto su di un pc in lan oppure qualcosa tipo hamachi?

cavolo mi sembra cosi vicina la soluzione :(

Non avendo notizie certe sull' implementazione zyxel, per poter essere certo di come funziona avrei bisogno dello sniffing del traffico in 3 punti : client-router, router-wan_firewall e firewall-lan.
Quanto alla questione gateway, è un puro problema di lookup: lo si può raggiungere se si è sulla sua stessa subnet, altrimenti anche settando una route del tipo

192.168.1.1 attraverso qualcosa, vuol dire che il traffico diretto a 192.168.1.1 (e per estensione tutto l' altro traffico che fa match con il gateway) passerà per un router di frontiera, il quale prenderà autonomamente decisioni (logicamente potrebbe uscire per 192.168.1.1, ma anche no). Ecco perchè parlavo del fatto che il firewall deve a quel punto avere una regolare di forward specifica.

Non avendo notizie certe sull' implementazione zyxel, per poter essere certo di come funziona avrei bisogno dello sniffing del traffico in 3 punti : client-router, router-wan_firewall e firewall-lan.
Quanto alla questione gateway, è un puro problema di lookup: lo si può raggiungere se si è sulla sua stessa subnet, altrimenti anche settando una route del tipo

192.168.1.1 attraverso qualcosa, vuol dire che il traffico diretto a 192.168.1.1 (e per estensione tutto l' altro traffico che fa match con il gateway) passerà per un router di frontiera, il quale prenderà autonomamente decisioni (logicamente potrebbe uscire per 192.168.1.1, ma anche no). Ecco perchè parlavo del fatto che il firewall deve a quel punto avere una regolare di forward specifica.

La configurazione è standard come quelle degli esempi sul sito zyxel cioè nulla di particolare con preshared key ho aperto le porte sul fw per la vpn e basta tutto qui dhcp off.

non saprei come farti avere le configurazioni...cioè intendi che devo nella nat nelle port forw. indicare che deve mandare determinate porte al 192.168.1.1?

non riesco aseguirti con la teoria mi servirebbe qualche esempio


per assurdo per ora mi basterebbe anche solo far raggiungere al client il serverino per poter almeno lavorare senza certificare...ma come fare allora con una sk di rete aggiuntiva o con una route?
se con la route mi faresti un esempio?
ma poi questa route non influisce con il resto della rete e coni l suo gateway 192.168.1.1?

Potrebbe andar bene questa route statica?

route add 192.168.1.150 mask 255.255.255.0 192.168.1.235

per poter far vedere al seriverino il firewall? a me basta questo perche ieri provando a mettere il gateway 192.168.1.235 al serve sono riuscito a collegarmi dal client remoto

magari ho capito male ma questa è la classica situazione che si risolve con un reverse SSH tunnel...visto poi che hai anche un altro accesso ad internet (è proprio una seconda linea giusto?) puoi anche eliminare il problema di dover avere accesibile dall'esterno il pc da cui vuoi avere accesso al servizio nella lan. certo, il tunnell ssh è la vpn dei poveri però è piuttosto semplice da mettere in piedi e, posto che lo scambio di chiavi sia fatto in sicurezza (e non c'è necessità di farlo altrimenti visto che una chiavetta usb non è un problema) è anche sicuro.

qui trovi qualche "hint" su ciò che puoi fare: http://www.marksanborn.net/howto/bypass-firewall-and-nat-with-reverse-ssh-tunnel/...cercando in rete trovi decine di link.

Potrebbe andar bene questa route statica?

route add 192.168.1.150 mask 255.255.255.0 192.168.1.235

per poter far vedere al seriverino il firewall? a me basta questo perche ieri provando a mettere il gateway 192.168.1.235 al serve sono riuscito a collegarmi dal client remoto

questo lo dovrebbe fare già il firewall operando da proxy-arp, in ogni caso si può forzare con una route del genere

route add 192.168.1.150 mask 255.255.255.255 192.168.1.235

p.s. attenzione a come ho settato la maschera

questo lo dovrebbe fare già il firewall operando da proxy-arp, in ogni caso si può forzare con una route del genere

route add 192.168.1.150 mask 255.255.255.255 192.168.1.235

p.s. attenzione a come ho settato la maschera

beh la mia maschera è 255.255.255.0 nella lan..... devo mettere 255.255.255.0 oppure 255.255.255.255 ??

eh invece non lo fa perche finchè non metto al pc come gateway il 192.168.1.235 ovvero l'indirizzo del firewall lui non lo vede...

ho provato a mettere il firewall come bridge anche come prova ma non si apre piu il tunnel poi... ora non ho la possibilità di andare in ufficio per rimodificare il tutto.. ma non penso ci siano problemi per la navigazione con l'altro router giusto? cioè al massimo per ora non posso solo aprire il tunnel io giusto? :)

magari ho capito male ma questa è la classica situazione che si risolve con un reverse SSH tunnel...visto poi che hai anche un altro accesso ad internet (è proprio una seconda linea giusto?) puoi anche eliminare il problema di dover avere accesibile dall'esterno il pc da cui vuoi avere accesso al servizio nella lan. certo, il tunnell ssh è la vpn dei poveri però è piuttosto semplice da mettere in piedi e, posto che lo scambio di chiavi sia fatto in sicurezza (e non c'è necessità di farlo altrimenti visto che una chiavetta usb non è un problema) è anche sicuro.

qui trovi qualche "hint" su ciò che puoi fare: http://www.marksanborn.net/howto/bypass-firewall-and-nat-with-reverse-ssh-tunnel/...cercando in rete trovi decine di link.

Si si è una seconda linea alice adsl business metre la prima è una linea bloccata, in pratica io voglio collegarmi con un tunnel vpn attraverso la alice adsl avviare il mio software client server dal cient remoto al server in lan e poi con il client remoto devo poter uscire in internet attraverso il router bloccato in lan...

beh la mia maschera è 255.255.255.0 nella lan..... devo mettere 255.255.255.0 oppure 255.255.255.255 ??

eh invece non lo fa perche finchè non metto al pc come gateway il 192.168.1.235 ovvero l'indirizzo del firewall lui non lo vede...

ho provato a mettere il firewall come bridge anche come prova ma non si apre piu il tunnel poi... ora non ho la possibilità di andare in ufficio per rimodificare il tutto.. ma non penso ci siano problemi per la navigazione con l'altro router giusto? cioè al massimo per ora non posso solo aprire il tunnel io giusto? :)

255.255.255.255 perchè deve prendere solo quell' Ip e non tutti quelli della rete. Ovviamente in bridge non può funzionare, perchè diventa trasparente il firewall.

beh la mia maschera è 255.255.255.0 nella lan..... devo mettere 255.255.255.0 oppure 255.255.255.255 ??

eh invece non lo fa perche finchè non metto al pc come gateway il 192.168.1.235 ovvero l'indirizzo del firewall lui non lo vede...

ho provato a mettere il firewall come bridge anche come prova ma non si apre piu il tunnel poi... ora non ho la possibilità di andare in ufficio per rimodificare il tutto.. ma non penso ci siano problemi per la navigazione con l'altro router giusto? cioè al massimo per ora non posso solo aprire il tunnel io giusto? :)

255.255.255.255 perchp deve prendere solo quell' ip e non tutti quelli della rete.
Ovviamente settato in bridge non può funzionare, perchè il firewall diventa trasparente.

Ok ok beh domani andrò e lo rimetterò!!! comunque ora sto valutando anche un'altra cosa, potrei mettere una route ad pc in ufficio che mi punta al 192.168.1.235 e poi da casa mi collegherei in desktop remoto cosi da evitare salti di rete con conseguente perdita di dati tra client e server, penso che facendo cosi sia la cosa più sicura e veloce, potrei benissimo farlo con quei sw in rete di desktop remoto ma penso che passare attraverso un tunnel vpn sia molto più sicuro cosa ne pensi?

Si si è una seconda linea alice adsl business metre la prima è una linea bloccata, in pratica io voglio collegarmi con un tunnel vpn attraverso la alice adsl avviare il mio software client server dal cient remoto al server in lan e poi con il client remoto devo poter uscire in internet attraverso il router bloccato in lan...

allora se hai un mulettino anche da 30E in grado di far girare una debian minimale (anche live da USB con avvio da CD) o una distro linux magari meno ostica ma altrettanto parca di richieste (tipo puppylinux) puoi seguire la strada che ti ho indicato andando di reverse ssh tunnel.

praticamente devi avere un server SSH in esecuzione sul mulettino dietro la linea su cui hai pieno controllo (ovviamente serve un port forwarding e l'abbonamento gratuito ad un servizio di dyndns: ma qui da quello che capisco sei libero di farlo) e quindi con putty o similari creare due tunnell:
1)dal server cui vuoi avere accesso crei un tunnell di tipo reverse andando a "remotare" sul mulettino la porta cui vuoi avere accesso da fuori rete
2)dal client che usi per connetterti crei un tunnell locale e di fatto metti la porta reamotata al punto uno in ascolto su una porta locale del tuo client

vuoi remotare e proteggere l'accesso RDP e collegarti col remote desktop di windows in un tunnell criptato? benissimo fai l'operazione sulla porta 3389...vuoi VNC? lo fai sulla 5900...vuoi un server web? lo fai sulla 80 etc etc.

la connessione è criptata e sicura...se poi le chiavi le scambi tra i sistemi prima di creare il tunnel (usando una chiavetta usb) sei anche tranquillo ad inziare la connessione anche da reti su cui non hai controllo diretto (es. da un internet cafè o da una area wifi pubblica). Poi, con 2 righe modificate sul demone sshd, hai anche il vantaggio indiretto di avere a disposizione un server proxy socks personale per bypassare qualsiasi blocco imposto alla navigazione quando ti trovi a navigare da reti che hanno una politica di accesso a siti piuttosto restrittiva.

Ti asssicuro che è più difficile a dirsi che a farsi: di fatto sul mulettino devi solo essere in grado di installare il server SSH (una volta installato praticamente dovrebbe funzionare già out of the box) mentre sul server a cui vuoi avere accesso e sul client che utilizzi per connetterti bastano 2 click su un tool grafico come putty. E' come avere un servizio hanamichi o go to my pc fai da te...con in più la possibilità di remotare qualsiasi porta ti venga in mente.

Grazie per le info!! beh questa è una cosa che proverò a casa di sicuro...però diciamo che li hanno poco spazio e verrebbe un po poco pratico come lavoro, penso che proverò l'ultima cosa con due route e se poi ho problemi resterò con il desktop remoto perchè poi ho notato perdite di dati se il client si scollega al server e quindi un collegamento diretto mi sembra rischioso, per questo visto che ho già la vpn pronta la utilizzerei come tunne per il desktop remoto!!!

Una domanda, ho cercato e letto qualcosa in rete su questa static route, ma in poche parole a cosa serve? cioè io non ho ancora avuto modo di testare le modifiche però tipo se al server in lan metto come gateway il 192.168.1.1 e static route 192.168.1.235 cosa succede che continua a uscire con l'1 ma vede anche il 235? non capisco...

In questa discussione è spiegato brevementa cosa è e come funziona il wildcard addressing che governa l' utilizzo delle tabelle di routing di un sistema operativo.
http://www.hwupgrade.it/forum/showthread.php?t=2210560&highlight=wildcard

Ho testato il tutto, in definitiva ho dovuto settare una static route con il -p dal pc che rimarrà acceso verso il firewall in più ho dovuto mettere il secondo gateway nelle risorse di rete ed ora in vpn posso collegarmi con vnc dal client remoto al pc in lan....solo cosi lo vede..non so perchè