Problema nell'utilizzo di una VPN

[bruno.reale]

Buongiorno a tutti. Vorrei sottoporre a voi tutti un problema che non riesco a risolvere sperando che qualcuno mi dia una dritta.

Ho realizzato una rete locale alla quale sono collegati un certo numero di router ognuno dei quali, lato WAN, possiede un indirizzo statico nella sottorete 10.0.0.0 e nel lato LAN assegna in DHCP un indirizzo ai client a lui collegati.

Collegandomi con il PC in locale, con un indirizzo della sottorete 10.0.0.0, riesco a vedere e pingare tutti i router senza alcun problema.

Per poter gestire a distanza tutta questa rete, ho realizzato una VPN tra il router di accesso ad internet della rete locale ed il router che detengo a casa.
I router sono due linksys AG241 ADSL2+ modem/router che gestiscono il protocollo IPsec.

Il problema è che se tento di vedere e pingare gli stessi router della rete remota da casa, che in locale vedo tranquillamente, pingo solo alcuni IP mentre gli altri sono assolutamente invisibili.

Ho provato a modificare alcuni parametri relativi alla VPN ma non ottengo risultati anche se, se fossero errati, non dovrei vedere alcun nodo della rete remota, invece ne vedo solo alcuni. Ho anche pensato che potesse essere un problema di netmask ma da verifica effettuata tutte le apparecchiature hanno una netmask pari a 255.255.255.0

Come mai?

Grazie.

[slowped]

Che indirizzo ip/netmask viene assegnato al tuo pc quando sei a casa?
Puoi postare Ip/netmask di uno dei router che riesci a raggiungere da casa, di uno di quelli che non raggiungi e del pc che al lavoro vede tutti i router?

[bruno.reale]

Grazie della risposta. Assolutamente si.
Allora,
Il PC a casa: 192.168.1.2 - 255.255.255.0
Il router che si vede: 10.0.0.62 - 255.255.255.0
Il router che non si vede: 10.0.0.10 - 255.255.255.0
Il PC locale: 10.0.0.254 - 255.255.255.0

Se vuoi posso anche mandarti la lista completa di ciò che si vede e ciò che non si vede.

[slowped]

Quote:

Originariamente inviato da bruno.reale

Il PC a casa: 192.168.1.2 - 255.255.255.0
Il router che si vede: 10.0.0.62 - 255.255.255.0
Il router che non si vede: 10.0.0.10 - 255.255.255.0

Una cosa che non mi è chiara è la configurazione della tua LAN dopo che il collegamento VPN tra i due router viene tirato su.

Dato che il tuo PC a casa ha un indirizzo (192.168.1.2) appartenente a una subnet diversa da quelle dei router remoti (10.0.0.0/24) per raggiungerli deve passare da almeno un router.

Ti chiederei a questo punto di postare l'output del comando ipconfig /all dato sul PC di casa e anche l'output del comando tracert sia verso verso il router che vedi sia verso quello "invisibile" (quest'ultimo comando mostra il percorso fatto dai pacchetti per giungere a destinazione).

[bruno.reale]

Ciao,
per chiarire come è stata sviluppata tutta la rete ho disegnato uno schema. Non so come fartelo avere.
Comunque, in linea generale, ad internet c'è collegato un modem/router AG241 Linksys che gestisce la VPN. Ad esso, tramite uno switch ci sono collegate le porte WAN di un certo numero di router. Ai router, poi, ci sono collegate delle terminazioni client lato LAN ma non è questo l'oggetto del problema.
Tutte le porte WAN dei router fanno riferimento alla sottorete 10.0.0.X, dove il Linksys è l'ip 10.0.0.1 e via dicendo gli altri.
Se io mi collego sullo switch con il portatile, con indirizzo 10.0.0.254, riesco a pingare tutti i router della sottorete.
Se mi collego da casa, tramite la VPN, io pingo alcuni degli ip 10.0.0.x mentri i restanti è come se non fossero collegati, praticamente invisibili.

Il tracert dell'IP 10.0.0.1 da: 1° salto 192.168.1.1, 2° salto 10.0.0.1
Il tracert dell'IP 10.0.0.2 da: 1° salto 192.168.1.1, 2° salto "Richiesta scaduta"

Spero di averti dato maggiori delucidazioni

[slowped]

Quote:

Originariamente inviato da bruno.reale

Il tracert dell'IP 10.0.0.1 da: 1° salto 192.168.1.1, 2° salto 10.0.0.1
Il tracert dell'IP 10.0.0.2 da: 1° salto 192.168.1.1, 2° salto "Richiesta scaduta"

Spero di averti dato maggiori delucidazioni

Allora, suppongo che l'IP 192.168.1.1 sia l'indirizzo del tuo router di casa.

Il primo traceroute mostra chiaramente che esso (il router di casa) è connesso direttamente alla rete 10.0.0.0/24 e quindi che la VPN è attiva e funzionante.

Il fatto che il secondo traceroute fallisca da casa, mentre quando sei in locale in ufficio funziona, potrebbe poter dipendere da almeno due fattori:

1) sui router che non rispondono è attivo un firewall che blocca le richieste provenienti dalla WAN;

2) sull'interfaccia WAN degli stessi router non è configurato il default gateway

Se non è un problema, potresti comunicare marca e modello dei router della LAN dell'ufficio e eventualmente postare la loro configurazione?

P.S.: per inviare delle immagini puoi allegarle come attachment (se non superano i 24k di dimensione) oppure caricarle su uno di quei siti che fanno hosting di immagini e poi inserire nel messaggio l'url dell'immagine.

[bruno.reale]

Ciao,
ho fatto una prova e sembrerebbe che, per alcuni router, il problema sia proprio il gateway.
Ma scusa, in una VPN per poter raggiungere tutte le periferiche le stesse devono puntare come gateway tutte al router di accesso della VPN stessa?
Nel caso specifico, la rete possiede due punti di accesso ad internet ed i router puntano alcuni ad un gateway per la navigazione ed altri ad un'altro così da suddividere equamente la banda disponibile. Siccome per entrare da remoto sfrutto le potenzialità di uno dei due modem/router sono costretto a vedere solo parte della rete, a meno chè non utilizzo due tunnel differenti per accedere a tutti.

[slowped]

Quote:

Originariamente inviato da bruno.reale

Ma scusa, in una VPN per poter raggiungere tutte le periferiche le stesse devono puntare come gateway tutte al router di accesso della VPN stessa?

Non necessariamente, ma devono essere istruiti riguardo al dispositivo a cui chi inviare i pacchetti che ricevono. Cerco di spiegarmi.

Quando tu dalla VPN di casa tenti di connetterti a un router della LAN aziendale, i tuoi pacchetti vengono giustamente visti come provenienti da una rete "esterna". Quando il router che contatti risponde, dato che deve inviare il pacchetto all'esterno, lo gira al suo default gateway. Se questo è il router a cui sei collegato in VPN, i pacchetti vengono regolarmente instradati e tu ricevi la risposta. Se però il router ha come default gateway l'altro punto di accesso a internet, allora il pacchetto si perde in quanto quest'ultimo non sa poi a chi inviare (non ha una rotta verso la tua VPN).

Il problema è ora di capire qual'è il l'indirizzo di provenienza che vede il router quando tu per esempio invii un ping. Una volta determinato questo indirizzo, una possibile soluzione è quella di aggiungere una route statica ai router che hanno come default gateway il router che non è nella VPN.

Chiaramente, nel ragionamento di cui sopra ho fatto diverse semplificazioni, ma la sostanza dovrebbe essere comunque invariata.

Te lo avevo già chiesto, ma evidentemente ti è sfuggito, potresti postare l'output del comando ipconfig /all dato sul PC di casa che usi per connetterti alla rete remota?

[bruno.reale]

Ciao e grazie dell'aiuto che mi stai dando.
Eccoti di seguito l'output del comando che mi hai chiesto:

--------------------------------------------------------------------

Configurazione IP di Windows

Nome host . . . . . . . . . . . . . . : Bruno
Suffisso DNS primario . . . . . . . :
Tipo nodo . . . . . . . . . : Sconosciuto
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No

Scheda Ethernet Connessione alla rete locale (LAN):

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : NVIDIA nForce MCP Networking Con
troller
Indirizzo fisico. . . . . . . . . . . : 00-00-00-21-89-79
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.1.2
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.1.1
Server DNS . . . . . . . . . . . . . : 151.99.125.1

Scheda Ethernet Connessione rete senza fili:

Stato supporto . . . . . . . . . . . : Supporto disconnesso
Descrizione . . . . . . . . . . . . . : TP-LINK 11b/g Wireless Adapter
Indirizzo fisico. . . . . . . . . . . : 00-19-E0-89-12-E1

--------------------------------------------------------------------

[slowped]

Quote:

Originariamente inviato da bruno.reale

Ciao e grazie dell'aiuto che mi stai dando.
Eccoti di seguito l'output del comando che mi hai chiesto:

Ops... volevo chiederti anche l'output del comando route print ma me ne sono dimenticato. Cercherò di farne a meno

A questo punto sarebbe risolutivo sapere con quale indirizzo IP il tuo PC di casa viene visto dal router che gestisce la VPN in 'ufficio.

Una volta determinato tale indirizzo, provare a pingarlo da uno dei router che risponde al ping o, ancora meglio, dare un traceroute dal router al PC di casa.

Se il PC di casa risponde al ping per risolvere il problema bisognerebbe aggiungere sui router che non rispondono una route statica al tuo PC (a anche a tutta la tua LAN casalinga) passando dal router Linksys che gestisce la VPN.

Per esempio, da casa (IP 192.168.0.2) il traceroute verso un router raggiungibile hai detto che è:

1° hop 192.168.1.1, 2° hop 10.0.0.62

Se, come penso, il router in questione è in grado di pingare il tuo PC a casa, allora il percorso ufficio-casa dovrebbe passare dal Linksys (10.0.0.1). Quindi un traceroute dato dal router verso il PC dovrebbe essere

1° hop 10.0.0.1, 2° hop 192.168.1.1

Se le cose stessero così, come già detto in precedenza, dovresti aggiungere sui router che hanno come default gateway l'altro punto di accesso a Internet una route statica verso il tuo PC o verso la tua LAN che abbia come gateway il Linksys.

Come farlo dipende dai router presenti nella tua rete.