Connessione openvpn e assegnazione ip per connessione remote desktop

[YellowT]

Ciao a tutti,
vorrei un consiglio/indicazione su come configurare la situazione seguente (ripresa da altro mio topic dove mi è stata sconsigliata la configurazione precedente)

Router telecom => Firewall zeroshell => Nas + rete interna

Vorrei far si che, tramite una openvpn, sia possibile accedere al nas e in desktop remoto al computer.
Ho qualche dubbio, spero possiate aiutarmi:
- devo creare un utente VPN a testa oppure ne basta uno per tutti (anche in caso di più connessioni contemporanee)?

-openvpn assegna un range di ip "proprio" ai computer connessi dall'esterno. Devo dargli gli stessi ip interni della mia rete oppure basta essere connessi?

- il firewall deve avere qualche configurazione particolare oppure una volta sulla vpn è esattamente come se fossi connesso in locale?

Scusate le domande banali ma vorrei configurare da remoto un nas e un pc in un posto molto poco accessibile e ogni volta andare a fare le prove è complicato. Vorrei andarci e riuscire a risolvere in poco in modo da poter poi gestire il pc e il nas da fuori...

[Kaya]

Si, le domande sono banali.. comq...

Si, ti da un range ip specifico, tanto poi ci pensa il firewall/openvpn a fare routing verso la tua LAN privata , ovviamente secondo le regole che sono impostate.

Per l'opzione "unico utente multiple connessioni" (premesso che io non lo farei) il manuale dice

Codice:

--duplicate-cn
    Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name.

MI RACCOMANDO: Non dare le stesse classi della LAN ai client che si collegano in vpn dialtrimenti va in aceto.
E ricorda di impostare il bridge mode qual'ora la tua lan domestica ha la stessa classe della LAN di destinazione

[YellowT]

Quote:

Originariamente inviato da Kaya

Si, le domande sono banali.. comq...

Si, ti da un range ip specifico, tanto poi ci pensa il firewall/openvpn a fare routing verso la tua LAN privata , ovviamente secondo le regole che sono impostate.

Per l'opzione "unico utente multiple connessioni" (premesso che io non lo farei) il manuale dice

Codice:

--duplicate-cn
    Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name.

MI RACCOMANDO: Non dare le stesse classi della LAN ai client che si collegano in vpn dialtrimenti va in aceto.
E ricorda di impostare il bridge mode qual'ora la tua lan domestica ha la stessa classe della LAN di destinazione

Grazie mille. Mi hai già dato delle dritte di cui non sapevo nulla, specialmente la questione delle classi ip. Purtroppo sono a digiuno di networking "evoluto"
A questo punto sulla rete del server openvpn mi conviene mettere una classe ip meno comune (niente 0 e 1 ad esempio...).

Sugli utenti era un'idea visto che sono pochi ne creerò di multipli e personali.

Grazie!

[Kaya]

Io personalmente preferisco usare ad ognuno il suo utente e certificato.
Per la rete visto che sei dietro e devi farlo nuovo tanto vale...

Ciao!

[OUTATIME]

Per fare il redirect del remote desktop devi mettere mano a iptables, e per farlo devi avere un ip fisso su openvpn.
Lo puoi fare usando un utente per ogni connessione e creando i file nella cartella ccd.

Immagino però che se è la prima volta che metti mano a openvpn tu non abbia capito nulla.

[OUTATIME]

Quote:

Originariamente inviato da Kaya

MI RACCOMANDO: Non dare le stesse classi della LAN ai client che si collegano in vpn dialtrimenti va in aceto.
E ricorda di impostare il bridge mode qual'ora la tua lan domestica ha la stessa classe della LAN di destinazione

Io solitamente natto tutto dalla subnet di default di openvpn.

[YellowT]

Quote:

Originariamente inviato da OUTATIME

Per fare il redirect del remote desktop devi mettere mano a iptables, e per farlo devi avere un ip fisso su openvpn.
Lo puoi fare usando un utente per ogni connessione e creando i file nella cartella ccd.

Immagino però che se è la prima volta che metti mano a openvpn tu non abbia capito nulla.

Non è la prima volta ma in precedenza erano cose molto semplici del tipo DDNS => server opnevpn => nas o pc. Senza firewall o routing di mezzo.

Quindi si, in gran parte non ho capito ( e sono pure un tecnico ma non delle reti). Semplificando, se mi collego a openvpn sono nella mia rete LAN con classe ip differente. Sul firewall devo impostare le regole di routing per far accedere il pc remoto alla lan locale. Da li non dovrei essere dentro e usare tutto come se fossi collegato localmente?

[Kaya]

Quote:

Originariamente inviato da YellowT

Non è la prima volta ma in precedenza erano cose molto semplici del tipo DDNS => server opnevpn => nas o pc. Senza firewall o routing di mezzo.

Quindi si, in gran parte non ho capito ( e sono pure un tecnico ma non delle reti). Semplificando, se mi collego a openvpn sono nella mia rete LAN con classe ip differente. Sul firewall devo impostare le regole di routing per far accedere il pc remoto alla lan locale. Da li non dovrei essere dentro e usare tutto come se fossi collegato localmente?

No, tu devi configurare la rete Openvpn per accedere al remoto in RDP .
Ad ogni modo sfugge che lui non ha da fare i passaggi in iptables & Co. perchè usa zeroshell. Ora io zeroshell non lo conosco, ma suppongo abbia un pelo di intelligenza (come pfsense) e gestisca un minimo di regole in automatico (il server VPN e il firewall coincidono quindi...) e googlando in rete ho trovato qualche guida: http://www.zeroshell.net/listing/OpenVPN-setup.pdf

Pertanto la cosa è probabilmente più facile di quanto si creda poichè usa un all-in- one che fa tutto.

Ciao

[YellowT]

Quote:

Originariamente inviato da Kaya

No, tu devi configurare la rete Openvpn per accedere al remoto in RDP .
Ad ogni modo sfugge che lui non ha da fare i passaggi in iptables & Co. perchè usa zeroshell. Ora io zeroshell non lo conosco, ma suppongo abbia un pelo di intelligenza (come pfsense) e gestisca un minimo di regole in automatico (il server VPN e il firewall coincidono quindi...) e googlando in rete ho trovato qualche guida: http://www.zeroshell.net/listing/OpenVPN-setup.pdf

Pertanto la cosa è probabilmente più facile di quanto si creda poichè usa un all-in- one che fa tutto.

Ciao

Intanto rigrazie (soprattutto per la pazienza ). Penso anche io che non dovrò smanettare nei file di configurazione (altrimenti che si chiama a fare zeroshell?) ma mi rimane ancora un dubbio.
La connessione la da un router telecom su una classe ip differente da quella del firewall e ovviamente dall'esterno atterrerò prima di tutto su quello e solo dopo sul firewall. Devo configurare qualcosa nel router per far si che lui sappia che mi deve rimandare al firewall per stabilire la vpn?

[Kaya]

Quote:

Originariamente inviato da YellowT

Intanto rigrazie (soprattutto per la pazienza ). Penso anche io che non dovrò smanettare nei file di configurazione (altrimenti che si chiama a fare zeroshell?) ma mi rimane ancora un dubbio.
La connessione la da un router telecom su una classe ip differente da quella del firewall e ovviamente dall'esterno atterrerò prima di tutto su quello e solo dopo sul firewall. Devo configurare qualcosa nel router per far si che lui sappia che mi deve rimandare al firewall per stabilire la vpn?

Beh mi aspetterei che avendo un firewall inoltri tutto su quello ........... Altrimenti che senso ha avere un firewall a valle di un modem/router?

Comunque si, verifica sulla documentazione quali sono le porte che usa opevpn, a memoria non le ricordo.

[YellowT]

Quote:

Originariamente inviato da Kaya

Beh mi aspetterei che avendo un firewall inoltri tutto su quello ........... Altrimenti che senso ha avere un firewall a valle di un modem/router?

Comunque si, verifica sulla documentazione quali sono le porte che usa opevpn, a memoria non le ricordo.

Non mi risulta che sia così al momento. è un po un caos ed è per questo che sto cercando di sistemare.
Di fatto il router assegna i suoi ip ai dispositivi wifi (192.168.1.x)e fornisce la connessione internet al firewall (che da gli ip alla rete interna 192.168.0.x).
è sensato oppure no?

[OUTATIME]

Quote:

Originariamente inviato da Kaya

No, tu devi configurare la rete Openvpn per accedere al remoto in RDP .
Ad ogni modo sfugge che lui non ha da fare i passaggi in iptables & Co. perchè usa zeroshell. Ora io zeroshell non lo conosco, ma suppongo abbia un pelo di intelligenza (come pfsense) e gestisca un minimo di regole in automatico (il server VPN e il firewall coincidono quindi...) e googlando in rete ho trovato qualche guida: http://www.zeroshell.net/listing/OpenVPN-setup.pdf

Pertanto la cosa è probabilmente più facile di quanto si creda poichè usa un all-in- one che fa tutto.

Ciao

Ah, ok, non lo conosco, effettivamente.

[OUTATIME]

Quote:

Originariamente inviato da YellowT

Intanto rigrazie (soprattutto per la pazienza ). Penso anche io che non dovrò smanettare nei file di configurazione (altrimenti che si chiama a fare zeroshell?) ma mi rimane ancora un dubbio.
La connessione la da un router telecom su una classe ip differente da quella del firewall e ovviamente dall'esterno atterrerò prima di tutto su quello e solo dopo sul firewall. Devo configurare qualcosa nel router per far si che lui sappia che mi deve rimandare al firewall per stabilire la vpn?

Devi aprire solo la porta per la vpn verso lo zeroshell, che se è quella di default è la 1194.
Dopo sei in vpn sullo zeroshell e fai tutto da lui.

[Kaya]

Quote:

Originariamente inviato da OUTATIME

Devi aprire solo la porta per la vpn verso lo zeroshell, che se è quella di default è la 1194.

Sia TCP che UDP

[YellowT]

Dunque, grazie ancora.
Ho configurato VPN e utenti.
Quale ip devo usare per reindirizzare le chiamate all'ip pubblico del "modem" al firewall? IL modem ha classe ip 192.168.1.x mentre il firewall 192.168.0.x. Se metto nel router un port forwarding sulla 1194 per l'ip 192.168.0.1 mi dice che sono fuori dal suo range di ip...
EDIT

Era molto semplice e ora ho anche meglio capito il funzionamento di tutto il sistema :-) è stato utile. In pratica:
- l'interfaccia a cui è collegato il router non aveva IP. è bastato da Zeroshell fargli prendere l'ip dal DHCP del router wan.
- fatti questo il router wan ha visto l'ip collegato e ho potuto fare il port forwarding per OVPN
- per qualche ragione incomprensibile, la CA e il relativo certificato creato all'interno di zeroshell non erano attivi. Quindi la VPN dava errore di configurazione. Attivato il certificato tutto ok.

Ora mi collego alla VPN e accedo sia a nas che a interfaccia amministrativa del firewall su 192.168.0.x che era lo scopo principale.

Mi rimangono però alcuni dubbi:
- non riesco ad accedere all'interfaccia del modem e non capisco il motivo. Da zeroshell il modem è su 192.168.1.x e dalla rete locale riesco a raggiungerlo... La rete da cui sono poi non è sovrapposta a quella (192.168.178.x)
- non mi è chiara la differenza tra nattare o meno un'interfaccia. Al momento ho in nat la connessione ppp ma non le interfaccie ETH. Dovrei mettecerle? Quali sono le implicazioni?
- Ho configurato la VPN in modo da usare la CA del firewall E il certificato personale scaricato da zeroshell (che immagino sia una chiave privata). è corretto, anche a livello di sicurezza? Le altre openvpn che avevo creato richiedevano un singolo certificato...


Grazie!