Ciao a tutti!

Ho messo su una vpn tra il mio ufficio e casa.
Il server in ufficio è un nas qnap TS469L con openvpn cosi configurato:

- pool ip client vpn 10.8.0.2 - 10.8.0.254
- porta server vpn UDP 1194 (porta aperta sul router)
- crittografia AES 128 bit
- reindirizza gatwey (non abilitato)
- link vpn compresso (non abilitato)

Ho sacricato certificato (openvpn.ovpn) e chiave (ca.crt), ho configurato un client VPN sul mio router a casa ASUS DSL-AC68U, un client sul mio cel android ed un client su un pc dell'ufficio.

Funziona tutto (quasi) a dovere; Da casa accedo in VPN alle risorse del NAS da qualsiasi PC o cellulare (inserendo nome utente e password corretti) senza dover installare nessun client VPN sugli apparati, utilizzando il client installato sul router.
Dallo smartphone accedo in VPN alle risorse del NAS utilizzando rete cellulare e client android installato su smartphone.
Dal PC dell'ufficio accedo in VPN alle risorse del nas (digitando 10.8.0.1) riesco a pingare sia il router che il cellulare android

Fino a qui tutto bene, ora il problema. Dal router ASUS e dal cellulare android non riesco a pingare il computer dell'ufficio, mi fermo al nas non entro quindi nella rete interna.
Ho cercato e letto molto in rete ma non ne sono venuto a capo.
Dove sbaglio?

Grazie

Ciao a tutti!

Fino a qui tutto bene, ora il problema. Dal router ASUS e dal cellulare android non riesco a pingare il computer dell'ufficio, mi fermo al nas non entro quindi nella rete interna.
Ho cercato e letto molto in rete ma non ne sono venuto a capo.
Dove sbaglio?

Grazie

aggiungo, sono entrato in ssh nel nas ho pingato il router a casa 10.8.0.2 e tutto ok, ho pingato il pc 10.8.0.6 nella rete locale del nas e nulla

aggiungo, sono entrato in ssh nel nas ho pingato il router a casa 10.8.0.2 e tutto ok, ho pingato il pc 10.8.0.6 nella rete locale del nas e nulla

Non capisco come tu faccia ad avere la stessa classe di ip sia sul NAS che su quella che ti viene assegnata al router di casa.

Non capisco come tu faccia ad avere la stessa classe di ip sia sul NAS che su quella che ti viene assegnata al router di casa.

10.8.0.1 è la classe di ip che assegna il server vpn ai client, penso che sia normale così.
Io pingo l'IP assegnato dal server vpn al mio router asus a casa e non l'ip vero del router che è 192.168.10.1, anche perche se pingo quest'ultimo non va

Allora dovresti rispiegare la configurazione, magari con un disegno, perchè non ho capito nulla.
Dove sta questo NAS? nel pc dell'ufficio? quindi perchè ti colleghi in VPN al nas?
C'è qualcosa che non mi torna nella "logica"..

Allora dovresti rispiegare la configurazione, magari con un disegno, perchè non ho capito nulla.
Dove sta questo NAS? nel pc dell'ufficio? quindi perchè ti colleghi in VPN al nas?
C'è qualcosa che non mi torna nella "logica"..

Hai perfettamente ragione! Il nas è nella rete dell'ufficio, così come il PC. L'unico motivo per cui ho installato il client VPN anche su questo PC è per fare delle prove, perchè da casa oltre che accedere alle risorse del nas (cosa che riesco a fare con la vpn) è che dovrei accedere anche alle risorse di questo pc. Quindi ho pensato che anche i PC della rete del NAS dovessero essere collegati come client alla VPN.
Forse sto facendo un po di confusione, magari basta il nas come server vpn e poi trovare il modo di gestire le risorse di rete che sono sulla sua lan. Su vari forum ho letto che invece del nas dovrei mettere un altro router a fare da server vpn (dello stesso modello di quello che fa da client alla rete casalinga)

Grazie

Hai perfettamente ragione! Il nas è nella rete dell'ufficio, così come il PC. L'unico motivo per cui ho installato il client VPN anche su questo PC è per fare delle prove, perchè da casa oltre che accedere alle risorse del nas (cosa che riesco a fare con la vpn) è che dovrei accedere anche alle risorse di questo pc. Quindi ho pensato che anche i PC della rete del NAS dovessero essere collegati come client alla VPN.
Forse sto facendo un po di confusione, magari basta il nas come server vpn e poi trovare il modo di gestire le risorse di rete che sono sulla sua lan. Su vari forum ho letto che invece del nas dovrei mettere un altro router a fare da server vpn (dello stesso modello di quello che fa da client alla rete casalinga)

Grazie

Il "problema" credo che sia qualcosa dovuto proprio al nas.
Quando instauri la VPN, sul pc si aggiunge un ip della classe della VPN: quindi, se pinghi il nas che fa parte della nuova classe non ci sono problemi, in quanto il pc sa benissimo che deve usare l'interfaccia VPN.
Se invece provi ad andare sulla rete del pc dell'ufficio, succede che la classe è sicuramente diversa e il tuo pc probabilmente NON sa come raggiungere quella rete, probabilmente ci prova usando il tuo default gateway (il router di casa).

Dopo che hai lanciato la VPN, verifica il touring sul tuo pc client (cmd -> ROUTE PRINT) e guarda se c'è la rete del tuo ufficio e di usare il gateway openvpn come instradamento. Il problema probabilmente è qua.

Se metti il flag a "usa gateway" lato nas, probabilmente risolvi il problema (ridirigendo TUTTO il traffico) ma così anche tutto il resto di internet passa di lì.

Se il problema è come immagino, una riga di ROUTE ADD risolve poi il tuo problema di raggiungere la rete ufficio da casa

Dopo che hai lanciato la VPN, verifica il touring sul tuo pc client (cmd -> ROUTE PRINT) e guarda se c'è la rete del tuo ufficio e di usare il gateway openvpn come instradamento. Il problema probabilmente è qua.

http://tecnotest.altervista.org/FOTO/route.jpg

192.168.1.1 è la rete lan dell'ufficio (la stessa del NAS) a cui devo accedere tramite vpn dall'esterno , 192.168.2.1 è una seconda scheda di rete sul PC che fa capo ad una rete separata a cui non mi interessa accedere, 10.8.0.1 è la VPN


Se metti il flag a "usa gateway" lato nas, probabilmente risolvi il problema (ridirigendo TUTTO il traffico) ma così anche tutto il resto di internet passa di lì.


E giustamente io non voglio che tutto il traffico passi per la vpn, a me serve solo per accedere alle risorse dell'ufficio


Se il problema è come immagino, una riga di ROUTE ADD risolve poi il tuo problema di raggiungere la rete ufficio da casa


C'è qualcosa che puoi consigliarmi da leggere per risolvere il problema? Ho cercato in internet ma non trovo nulla

Grazie

Se il problema è come immagino, una riga di ROUTE ADD risolve poi il tuo problema di raggiungere la rete ufficio da casa

Una cosa del genere può fare al caso mio?

route -p ADD 10.8.0.0 MASK 255.255.255.252 10.8.0.1

Una cosa del genere può fare al caso mio?

route -p ADD 10.8.0.0 MASK 255.255.255.252 10.8.0.1

Niente da fare! ho aggiunto la riga di cui sopra e viene fuori questo

http://tecnotest.altervista.org/FOTO/route2.jpg

dal PC nella stessa rete del NAS riesco a pingare tutto (smartphone connesso in VPN 3G, Router Asus a casa, NAS) Da qualsiasi apparato invece, NAS compreso, non riesco a pingare il PC

:-( sob!

aggiungo, sono entrato in ssh nel nas ho pingato il router a casa 10.8.0.2 e tutto ok, ho pingato il pc 10.8.0.6 nella rete locale del nas e nulla

scusa ma come fa' il pc ad avere 10.8.0.6 se la LAN del NAS è 192.168.1.0/24 ?

Ciao, scusami non lo pinghi, va bene, ma il ping è abilitato su questo PC? Ho riletto 3/4 volte la tua configurazione, ma mi spiace non è molto chiara per me. Ti posso chiedere uno schema veloce, anche a penna? Magari riusciamo ad aiutarti ;)

Inviato dal mio Nexus 5X utilizzando Tapatalk

scusa ma come fa' il pc ad avere 10.8.0.6 se la LAN del NAS è 192.168.1.0/24 ?

Come ho già spiegato il nas ha indirizzo 192.168.1.23 il PC 192.168.1.4; Il nas fa da server openvpn ed ha come indirizzo 10.8.0.1. AL pc (client vpn) quando si connette viene assegnato in dhcp il 10.8.0.6.
Connetto in vpn anche il router di casa (a cui viene assegnato 10.8.0.2) con in cascata tutti i pc che sono sotto di lui; connetto anche uno smartphone in 3G (10.8.0.10)
Io con tutti i client riesco a vedere le risorse del NAS, da tutti i client riesco a pingare gli altri client e il nas stesso tranne l'indirizzo ip (10.8.0.6) del PC che sta nella stessa rete del NAS (192.168.1.0/24) Dal nas (con putty) pingo tutti i client tranne il sopracitato PC. Questo è il problema. Perchè il PC che sta nella stessa rete del NAS non viene pingato dagli altri client e dal NAS stesso se lui inveci pinga tutti?

Ciao, scusami non lo pinghi, va bene, ma il ping è abilitato su questo PC? Ho riletto 3/4 volte la tua configurazione, ma mi spiace non è molto chiara per me. Ti posso chiedere uno schema veloce, anche a penna? Magari riusciamo ad aiutarti ;)

Ecco lo schema, un pò rozzo :-)

http://tecnotest.altervista.org/FOTO/VPN.jpg

La rete di casa (router asus) prima era della stessa classe del NAS 192.168.1.0/24 però da qualche parte ho letto che doveva essere diversa così l'ho cambiata. Sostanzialmente non è cambiato nulla però, a casa funzionava prima e funziona ora.

Grazie

ma quindi il pc 192.168.1.4 si collega in vpn al nas e ottiene l'ip aggiuntivo 10.8.0.6 ?

Hai un po di idee confuse onestamente.
Allora prima di tutto dal tuo ROUTE PRINT vedo che ci sono alcune cose che non tornano: hai più gateway e subnet diverse per la stessa sottorete.
Quindi c'è qualcosa che non torna.
Inoltre dall'ufficio non riesci ad accedere alla rete di casa (senza collegarsi in VPN che è però assurdo) perchè al tuo router devi dire che deve ridirigere quella rete sul NAS.
Il fatto che ci vogliano due reti differenti è corretto, altrimenti è un gran casino farle funzionare.

ma quindi il pc 192.168.1.4 si collega in vpn al nas e ottiene l'ip aggiuntivo 10.8.0.6 ?

Siccome non ha regole di routing per impostate sul router, l'unico modo che ha è quello di collegarsi al NAS in VPN, ma all'interno della stessa LAN (se ho capito bene)

Hai un po di idee confuse onestamente.
Allora prima di tutto dal tuo ROUTE PRINT vedo che ci sono alcune cose che non tornano: hai più gateway e subnet diverse per la stessa sottorete.
Quindi c'è qualcosa che non torna.

Cerco di chiarire. Sul PC (dell'ufficio) su cui ho fatto il route print ci sono installate due schede di rete, una con indirizzo 192.168.1.4 che fa capo al router fastweb (blindato) e a tutta la rete dell'ufficio su cui è anche il NAS. Un'altra scheda di rete con indirizzo 192.168.2.10 fa capo ad un altro router connesso tramite wan al router fastweb. Questo secondo router mi serve per gestire altre cose e solo da questo PC. L'unico modo che ho avuto per accedere da questo pc alle due diverse reti è stato aggiungere:
route -p ADD 192.168.2.0 MASK 255.255.255.0 192.168.2.1.

Inoltre dall'ufficio non riesci ad accedere alla rete di casa (senza collegarsi in VPN che è però assurdo) perchè al tuo router devi dire che deve ridirigere quella rete sul NAS.

Io non capisco quello che vuoi dire o sono io che non mi sono spiegato bene.

VPN a parte, io da casa all'ufficio (con indirizzo pubblico) mi collego in qualsiasi modo (ftp, web interface del nas, con Total Commander dal cel. accedo direttamente alle condivisioni del NAS, ecc.) e anche dall'ufficio a casa (con dyndns) Ho voluto mettere su una VPN per un discorso di sicurezza.
La VPN funziona perfettamente. Io accedo al server (NAS dell'ufficio) da qualsiasi client, sia da casa, sia da smartphone e sia dal PC dell'ufficio che sta nella stessa rete cablata del NAS.
Chiarisco ancora meglio, io non voglio collegarmi via VPN (al NAS) dal PC che sta nella stessa rete cablata del NAS; io con il PC mi collego al NAS direttamente via 192.168.1.23 (indirizzo NAS). Ho installato il client VPN su questo PC solo per fare delle prove e per vedere se dagli altri client riuscivo a raggiungere questo PC.

E la mia domanda è proprio questa: perchè tutti i client [smartphone, pc a casa (che sta sotto rete 192.168.10.1, erroneamente nel disegno precedente avevo scritto 192.168.2.1) ] si vedono (tramite ping) e vedono anche il NAS ma non vedono questo famigerato PC (quello che sta sulla stessa rete cablata del nas) e perchè il nas vede tutti i client ma non vede questo famigerato PC? E invece perchè questo famigerato PC vede tutti gli altri client e anche il NAS?


Il fatto che ci vogliano due reti differenti è corretto, altrimenti è un gran casino farle funzionare.

Perfetto!

Siccome non ha regole di routing per impostate sul router, l'unico modo che ha è quello di collegarsi al NAS in VPN, ma all'interno della stessa LAN (se ho capito bene)

Spero di aver chiarito che non è il mio scopo collegarmi dal pc della stessa rete in VPN al NAS.

E' difficile spiegare o sono io che non lo so fare :-)

Grazie dell'aiuto ;-)

Mi viene un dubbio anche se mi sembra molto strano.
Per la VPN feci aprire da fastweb la porta 1194 sull'indirizzo del NAS e a casa ho aperto la stessa porta per il router che si connette in VPN. Non è che per assurdo devo aprire la porta anche per il PC in questione?

[SNIP]
E la mia domanda è proprio questa: perchè tutti i client [smartphone, pc a casa (che sta sotto rete 192.168.10.1, erroneamente nel disegno precedente avevo scritto 192.168.2.1) ] si vedono (tramite ping) e vedono anche il NAS ma non vedono questo famigerato PC (quello che sta sulla stessa rete cablata del nas) e perchè il nas vede tutti i client ma non vede questo famigerato PC? E invece perchè questo famigerato PC vede tutti gli altri client e anche il NAS?

Spero di aver chiarito che non è il mio scopo collegarmi dal pc della stessa rete in VPN al NAS.

E' difficile spiegare o sono io che non lo so fare :-)

Grazie dell'aiuto ;-)

Scusa ma da come la racconti sembra un raffazzonamento di più reti che funzionano con sputo e colla.

Io sono sempre propenso che hai problemi di routing.
Fai un confronto col ping e tracert, e verifica il transito dei pacchetti, dovrebbe essere un buon indizio per capire dov'è il blocco

Mi viene un dubbio anche se mi sembra molto strano.
Per la VPN feci aprire da fastweb la porta 1194 sull'indirizzo del NAS e a casa ho aperto la stessa porta per il router che si connette in VPN. Non è che per assurdo devo aprire la porta anche per il PC in questione?

La porta 1194 deve essere aperta sul router (e fatta puntare - NAT) solo dove c'è il server VPN.
Dalle altre parti è inutile (oddio salvo tu non abbia un mega firewall che blocca pacchetti VERSO porte diverse da quelle standard).
Una volta che la VPN è instaurata, il traffico per QUELLA rete passa tutto incapsulato.

Scusa ma da come la racconti sembra un raffazzonamento di più reti che funzionano con sputo e colla.

Non capisco, a parte la vpn ho due reti lan con indirizzi statici e alla seconda ho solamente detto qualè il gatway (solo per la seconda). La prima usa il gatwey predefinito 192.168.1.1
Avevo provato modificando la metrica sulle due schede di rete ma non funzionavano


Io sono sempre propenso che hai problemi di routing.
Fai un confronto col ping e tracert, e verifica il transito dei pacchetti, dovrebbe essere un buon indizio per capire dov'è il blocco

Ho fatto un pò di prove:

Questa è dal pc verso il NAS su rete locale
http://tecnotest.altervista.org/FOTO/tracertLANserver.jpg

Questa è dal PC verso il NAS in VPN
http://tecnotest.altervista.org/FOTO/tracertVPNserver.jpg

Questa è dal PC verso il router di casa in VPN
http://tecnotest.altervista.org/FOTO/tracertVPNrouter.jpg

Questa è dal NAS verso il router in VPN
http://tecnotest.altervista.org/FOTO/tracerouteserverasus.jpg

Questa è dal NAS verso il PC in VPN
http://tecnotest.altervista.org/FOTO/tracerouteserverPC.jpg

Questa è dal cellulare connesso in VPN in 3G verso il NAS
http://tecnotest.altervista.org/FOTO/CELSERVER.jpg

Questa è dal cellulare connesso in VPN in 3G verso il router
http://tecnotest.altervista.org/FOTO/CELROUTER.jpg

Questa è dal cellulare connesso in VPN in 3G verso il PC
http://tecnotest.altervista.org/FOTO/CELPC.jpg

Come dicevo prima tutti pingano tutti tranne il PC in questione. Però se fosse un problema di routing il PC non dovrebbe pingare gli altri client in VPN, invece il problema è pingare lui quindi traffico in entrata. o sbaglio?

La porta 1194 deve essere aperta sul router (e fatta puntare - NAT) solo dove c'è il server VPN.
Dalle altre parti è inutile (oddio salvo tu non abbia un mega firewall che blocca pacchetti VERSO porte diverse da quelle standard).
Una volta che la VPN è instaurata, il traffico per QUELLA rete passa tutto incapsulato.

Appunto mi sembrava strano

Fai un confronto col ping e tracert, e verifica il transito dei pacchetti, dovrebbe essere un buon indizio per capire dov'è il blocco

Ho fatto altre due verifiche:

http://tecnotest.altervista.org/FOTO/IPCONFIG1.jpg

http://tecnotest.altervista.org/FOTO/IPCONFIG2.jpg

http://tecnotest.altervista.org/FOTO/route3.jpg

Ma quel gatwey 10.8.0.5 è normale? il server VPN è 10.8.0.1

Risolto l'arcano mistero. Era la cosa più banale che ci potesse essere e che io stupidamente non avevo controllato. Il firewall di windows!!! Dato che una volta che connettevo la vpn sul PC questa appariva come rete pubblica lui giustamente bloccava tutte le connessioni in ingresso.

Ora devo capire come farla diventare rete privata.

Grazie a tutti per l'aiuto che mi avete dato

Ora devo capire come farla diventare rete privata.

Grazie a tutti per l'aiuto che mi avete dato

Ho dato una ripulita al PC, ho scollegato la seconda scheda di rete e lasciato solo la rete locale su indirizzo 192.168.1.0.
Ho dato i seguenti comandi:
netsh winsock reset
netsh int ip reset
netsh advfirewall reset
netsh winhttp>reset proxy
ipconfig /release
ipconfig /renew
ipconfig /flushdns
Ora la mia tabella di route è la seguente

http://tecnotest.altervista.org/FOTO/route5.jpg

Quando connetto la vpn però mi da sempre rete non identificata e non c'è verso di farla diventare privata. Forse alla fine dovrò mettere qualche regola a windows firewall per poter accedere al pc tramite vpn, però mi sembra tanto strano. Non ho trovato nessun post riguardo il problema in questione.

Questo è il route print con vpn attiva

http://tecnotest.altervista.org/FOTO/route4.jpg