VPN e condivisione risorse

[toz]

Mi sto divertendo a smanettare un pò con le VPN,oggi pom ho provato a mettere una macchina del LAB come server e un'altra come client(questi due PC fanno parte di una stessa LAN con connessione ADSL tramite Router con ip fissi assegnati dal provider).
Sulla macchina client ho disabilitato la LAN ed ho provato a connettermi tramite modem ISDN : tutto OK : le risorse di rete riguardanti la macchina Server sono tutte utilizzabili(nel senso che tutti i volumi condivisi sono accessibili).
Tornato a casa,ed avendo lasciato la macchina Server accesa e configurata per la VPN,ho provato a collegarmici ma,non vedo nessuna "risorsa di rete"!!!
In pratica mi collego al Server ma come faccio a far vedere al mio PC le cartelle messe in condivisione dal Server e quindi potervi accedere??
Per la cronaca,riesco a pingarlo..

Grazie,dai che se m'aiutate,faccio uno bello scherzo allo sfaticato del mio socio!!

[toz]

Ho dato una bella spulciata al forum e qualcuno consigliava d'attivare il Wins sul Server oppure di digitare l'indirizzo ip del Server sulla barra degli indirizzi (http://forum.hwupgrade.it/showthread...ht=vpn+risorse) ma, a parte che con il PC del Lab tutto funzionava,non mi ha risolto niente.

Leggevo poi di rindirizzare le porte (809 o 1723 ?) sull'ip della macchina che fa da server,ma credo che questo serva solamente per PC che escono con l'IP del Gateway(e non è il mio caso in quanto il router,tramite NAT,fa uscire la macchina Server su internet col proprio indirizzo IP)

A sto punto bho......mi sta a venì na galletta..quasi quasi faccio una capatina al LAB...vi prego fermatemi!!!!

[toz]

Leggendo qua e là,poi,mi è venuta na curiosità : ma qualche distro Linux può fare in nativo da Server VPN con + connessioni simultanee?

[capocozza]

Per il PPTP, se non ricordo male, la porta 809 dovrebbe essere utilizzata per il canale di controllo, la 1723 per il tunnel vero e proprio. O viceversa... attendo conferme o smentite. Se collegandoti in isdn come hai fatto la cosa ha funzionato, mi viene il dubbio che a casa tua il nodo vpn sia dietro un router/firewall.

Il fatto di non utilizzare "Risorse di rete" per accedere agli share remoti è una pratica piuttosto diffusa in caso di problemi. Se in explorer o da start->esegui dai un indirizzo del tipo \\192.168.0.x\ il client di rete microsoft (se funzionante e se quella macchina consente il browsing degli share) si collega direttamente alla macchina evitando di risolvere il suo nome tramite netbios. Se funziona significa che il problema è in qualcosa che blocca il netbios o il traffico broadcast in genere. Una prova IMHO più significativa sarebbe tentare di mappare uno share tramite net use * \\192.168.0.x\nomeshare appurato che l'utente con cui ti colleghi alla macchina di casa tua abbia effettivamente l'autorizzazione a leggere sulla rete remota.

Se il ping passa, nel tuo caso potrebbe essere (sempre per ipotesi) un problema di routing del traffico GRE (protocollo 47) che viene utilizzato dalla vpn microsoft per la trasmissione dei dati una volta stabilita la connessione di controllo. In sostanza se usi un router/firewall a casa tua devi assicurarti che l'apparecchio disponga di questa funzionalità (quello del laboratorio direi che la supporta).

Per linux esiste un server PPTP (Poptop, mi pare) e sicuramente ci sono dei client, altrimenti una soluzione alternativa è IPSec, un po' più complessa da mettere in piedi rispetto a PPTP ma più utilizzata per le vpn non "occasionali".

[gohan]

se no c'è un router come il mio che gestisce fino a 8 tunnel VPN.
Per linux, c'è la distribuzione smoothwall che fa da firewall e server VPN.

[toz]

Sei proprio innamorato del tuo Vigor he?? Cmq lo sto cercando,l'avevo trovato a 185€ ma ora non ne vedo + traccia.

Cmq tornando a noi,ora sono nel Lab e con mia grande sorpresa non va + neanche da qui
Fermo restando che nessuno ha toccato niente,mi stanno cascando le braccia.
Da casa mia uso un normale US robotics analogico e preventivamente spengo Zone alarm nessun firewall insomma.....ma niente,addirittura dopo un pò di smanettamenti non si conneteva neanche...
Ora provo a "aprire" sull'ip del server le porte 809 e 1723 sullo Zyxel 645r che è qui in lab anche se non ho impostato nessuna protezione,quindi a logica tutte le porte dovrebbero essere aperte no?

Per la cronaca,neanche mettendo l'indirizzo sulla barra riesco a vedere il Server.

Ha la "negoziazione" (sperando che sia il termine giusto) avviene in automatico,proverò a selezionare PPTP

A fra poco...

[toz]

Ho disabilitato zone allarm sul client e va tutto OK....mo faccio altre prove e magari le riporto su sto post dovessero servire a qualcuno...

[toz]

Ho fatto collegare il socio malefico da casa sua e tutto fila liscio.
A questo punto penso che sia il mio PC ad avere qualche problemino....

Cmq non è strano che riesca a vedere anche gli altri PC in rete,anche quelli sotto NAT(statico)?
Se li vede e riesce a pingarli(con l'IP della LAN) ,non c'è modo di fargli aprire le risorse condivise di quest'ultimi?

Per quanto riguarda Shothwall,potrebbe fare anche da router?

Cmq grazie x la pazienza

[gohan]

sì, smoothwall fa anche da router e/o proxy

[toz]

Slurp...quasi quasi.....certo che non avendo mai usato linux....

[gohan]

s'amministra tutto via web: è solo basato su linux, ma di linux non vedi praticamente nulla

[young]

Nei collegamenti vpn l'indirizzo ip privato del server e quello del client devono appartenere a range diversi (per es. 192.168.1.x e 192.168.2.x). Quindi, credo, in teoria dovresti avere a casa un indirizzo di rete fisso e impostare il server vpn per assegnare un indirizzo ip al client nello stesso range.

[capocozza]

Quote:

Originariamente inviato da toz
Cmq non è strano che riesca a vedere anche gli altri PC in rete,anche quelli sotto NAT(statico)?
Se li vede e riesce a pingarli(con l'IP della LAN) ,non c'è modo di fargli aprire le risorse condivise di quest'ultimi?

Non ci metterei la mano sul fuoco, ma zonealarm mi sembra un programma abbastanza invasivo da richiedere una completa (e IMHO defintiva ) disinstallazione più che una disattivazione temporanea. Visto che hai già smanettato un bel po' io una prova la farei...

Il nat, una volta stabilita la connessione vpn, non ha più importanza visto che il traffico viene "tunnellizzato" (gran bel neologismo) su un unica porta: i due nodi vpn sono quelli che devono essere nattati correttamente.

Non capisco cosa intendi per "si vedono": riesci a vederli in risorse di rete o riesci *solo e soltanto* a pingarli?

[gohan]

Quote:

Originariamente inviato da young
Nei collegamenti vpn l'indirizzo ip privato del server e quello del client devono appartenere a range diversi (per es. 192.168.1.x e 192.168.2.x). Quindi, credo, in teoria dovresti avere a casa un indirizzo di rete fisso e impostare il server vpn per assegnare un indirizzo ip al client nello stesso range.

spiega meglio

[FiSHBoNE]

Quote:

Originariamente inviato da gohan
spiega meglio

forse gohan è proprio quello che mi dicesti di fare te poco tempo fa e che risolse il problema della mia vpn, ovvero:

se il pc con server vpn è in una lan con ip di una certa classe, e il client che accede alla vpn si trova anch'esso in una lan con ip della stessa classe del server, accedendovi quando cerca unità condivise il suo windows cerca sulla sua rete locale e non sulla rete remota. Il problema ti ricorderai che su tuo consiglio lo risolsi impostando classi diverse di ip per pc che accedeva alla vpn e pc con server vpn, e impostando il server vpn per assegnare forzatamente ai pc client che accedevano via vpn ip appartenente al range di ip della lan in cui si trova il server vpn.

[gohan]

bhe sì, era solo che non avevo capito bene quello che intendesse.

[FiSHBoNE]

Quote:

Originariamente inviato da gohan
bhe sì, era solo che non avevo capito bene quello che intendesse.

ovvio, me l'avevi detto te qualche giorno fa di cambiare in quel modo! Effetto lauto pranzo domenicale!?

[capocozza]

Scusate, ma io non l'ho ancora capita...
Supponiamo che la rete privata sia 192.168.0.x/24, il gateway (in questo caso il pc in laboratorio) vpn al quale il client (casa) si collega gli assegna un indirizzo in dhcp 192.168.0.x/24 per il tunnel, cosa c'è di sbagliato?
Se la vpn è tra due lan allora si toglie il dhcp sul tunnel e si assegnano gli ip su due subnet diverse, per forza di cose le due interfacce su cui viene stabilito il tunnel sono su una rete o due reti diversa da quella privata...

Secondo me la vpn di toz a livello di network funziona, mi viene il dubbio che a questo punto non passino i broadcast netbios (192.168.0.255) o gli arp (già più probabile) ma a questo punto si usa il wins sul gateway vpn in laboratorio e qualcosa dovrebbe muoversi, no?

[FiSHBoNE]

allora, io ti dico che nella mia modestissima conoscenza di networking ho fatto, sperando possa esserti utile. Ho una lan con un pc gateway che fa nat. Dovevo consentire l'accesso via vpn a un amico, che doveva accedere alle risorse su un pc client della lan (non il gateway quindi).

Ho creato la connessione in ingresso nel pc della mia lan a cui l'amico doveva accedere, impostata in modo da consentire la visione delle risorse condivise della mia lan, e impostata per assegnare forzatamente ip ai pc che si connettono del tipo di quelli che uso sulla mia lan, mappato la porta sul gateway in modo da forwardare le richieste sulla 1723 in TCP verso l'ip del pc client a cui l'amico doveva accedere.

Il mio amico si connetteva via vpn senza problemi, riusciva a navigare uscendo col mio ip, però non vedeva alcuna risorsa condivisa.

Ho verificato che non fosse un problema di gruppo di lavoro o del tipo di account con cui accedeva alla vpn questo mio amico (che avevo creato con poteri limitati e quindi non come admin).

Gohan mi ha poi spiegato che il problema poteva essere dovuto al fatto che quel mio amico accedeva alla mia rete da un pc che si trovava a sua volta in una rete locale con ip dello stesso tipo della mia lan casalinga.

Ho allora provveduto a modificare la classe di ip dei pc della mia lan (da 192.168.0.x a 10.0.0.x), ho cambiato il range di ip che il server vpn assegna ai client (mettendo ovviamente anche qui un range di ip del tipo 10.0.0.x).

Ecco che così ha funzionato tutto.

[capocozza]

... infatti se il tunnel deve fare comunicare due lan è meglio che queste siano su due subnet (tu hai proprio cambiato classe) diverse anche per evitare che una delle due usi il gateway dell'altra per uscire, come succedeva al tuo amico.

Mi resta il dubbio che il problema del netbios si possa risolvere attivando il wins sul gateway vpn remoto visto che cmq in questo caso si parla di un singolo pc che si collega alla vpn con un modem, peccato che adesso non ho modo di provare...

Grazie per la precisazione!