Aiuto configurazione VPN

[goodbyeduke]

Ciao a tutti!

Ho messo su una vpn tra il mio ufficio e casa.
Il server in ufficio è un nas qnap TS469L con openvpn cosi configurato:

- pool ip client vpn 10.8.0.2 - 10.8.0.254
- porta server vpn UDP 1194 (porta aperta sul router)
- crittografia AES 128 bit
- reindirizza gatwey (non abilitato)
- link vpn compresso (non abilitato)

Ho sacricato certificato (openvpn.ovpn) e chiave (ca.crt), ho configurato un client VPN sul mio router a casa ASUS DSL-AC68U, un client sul mio cel android ed un client su un pc dell'ufficio.

Funziona tutto (quasi) a dovere; Da casa accedo in VPN alle risorse del NAS da qualsiasi PC o cellulare (inserendo nome utente e password corretti) senza dover installare nessun client VPN sugli apparati, utilizzando il client installato sul router.
Dallo smartphone accedo in VPN alle risorse del NAS utilizzando rete cellulare e client android installato su smartphone.
Dal PC dell'ufficio accedo in VPN alle risorse del nas (digitando 10.8.0.1) riesco a pingare sia il router che il cellulare android

Fino a qui tutto bene, ora il problema. Dal router ASUS e dal cellulare android non riesco a pingare il computer dell'ufficio, mi fermo al nas non entro quindi nella rete interna.
Ho cercato e letto molto in rete ma non ne sono venuto a capo.
Dove sbaglio?

Grazie

[goodbyeduke]

Quote:

Originariamente inviato da goodbyeduke

Ciao a tutti!

Fino a qui tutto bene, ora il problema. Dal router ASUS e dal cellulare android non riesco a pingare il computer dell'ufficio, mi fermo al nas non entro quindi nella rete interna.
Ho cercato e letto molto in rete ma non ne sono venuto a capo.
Dove sbaglio?

Grazie

aggiungo, sono entrato in ssh nel nas ho pingato il router a casa 10.8.0.2 e tutto ok, ho pingato il pc 10.8.0.6 nella rete locale del nas e nulla

[Kaya]

Quote:

Originariamente inviato da goodbyeduke

aggiungo, sono entrato in ssh nel nas ho pingato il router a casa 10.8.0.2 e tutto ok, ho pingato il pc 10.8.0.6 nella rete locale del nas e nulla

Non capisco come tu faccia ad avere la stessa classe di ip sia sul NAS che su quella che ti viene assegnata al router di casa.

[goodbyeduke]

Quote:

Originariamente inviato da Kaya

Non capisco come tu faccia ad avere la stessa classe di ip sia sul NAS che su quella che ti viene assegnata al router di casa.

10.8.0.1 è la classe di ip che assegna il server vpn ai client, penso che sia normale così.
Io pingo l'IP assegnato dal server vpn al mio router asus a casa e non l'ip vero del router che è 192.168.10.1, anche perche se pingo quest'ultimo non va

[Kaya]

Allora dovresti rispiegare la configurazione, magari con un disegno, perchè non ho capito nulla.
Dove sta questo NAS? nel pc dell'ufficio? quindi perchè ti colleghi in VPN al nas?
C'è qualcosa che non mi torna nella "logica"..

[goodbyeduke]

Quote:

Originariamente inviato da Kaya

Allora dovresti rispiegare la configurazione, magari con un disegno, perchè non ho capito nulla.
Dove sta questo NAS? nel pc dell'ufficio? quindi perchè ti colleghi in VPN al nas?
C'è qualcosa che non mi torna nella "logica"..

Hai perfettamente ragione! Il nas è nella rete dell'ufficio, così come il PC. L'unico motivo per cui ho installato il client VPN anche su questo PC è per fare delle prove, perchè da casa oltre che accedere alle risorse del nas (cosa che riesco a fare con la vpn) è che dovrei accedere anche alle risorse di questo pc. Quindi ho pensato che anche i PC della rete del NAS dovessero essere collegati come client alla VPN.
Forse sto facendo un po di confusione, magari basta il nas come server vpn e poi trovare il modo di gestire le risorse di rete che sono sulla sua lan. Su vari forum ho letto che invece del nas dovrei mettere un altro router a fare da server vpn (dello stesso modello di quello che fa da client alla rete casalinga)

Grazie

[Kaya]

Quote:

Originariamente inviato da goodbyeduke

Hai perfettamente ragione! Il nas è nella rete dell'ufficio, così come il PC. L'unico motivo per cui ho installato il client VPN anche su questo PC è per fare delle prove, perchè da casa oltre che accedere alle risorse del nas (cosa che riesco a fare con la vpn) è che dovrei accedere anche alle risorse di questo pc. Quindi ho pensato che anche i PC della rete del NAS dovessero essere collegati come client alla VPN.
Forse sto facendo un po di confusione, magari basta il nas come server vpn e poi trovare il modo di gestire le risorse di rete che sono sulla sua lan. Su vari forum ho letto che invece del nas dovrei mettere un altro router a fare da server vpn (dello stesso modello di quello che fa da client alla rete casalinga)

Grazie

Il "problema" credo che sia qualcosa dovuto proprio al nas.
Quando instauri la VPN, sul pc si aggiunge un ip della classe della VPN: quindi, se pinghi il nas che fa parte della nuova classe non ci sono problemi, in quanto il pc sa benissimo che deve usare l'interfaccia VPN.
Se invece provi ad andare sulla rete del pc dell'ufficio, succede che la classe è sicuramente diversa e il tuo pc probabilmente NON sa come raggiungere quella rete, probabilmente ci prova usando il tuo default gateway (il router di casa).

Dopo che hai lanciato la VPN, verifica il touring sul tuo pc client (cmd -> ROUTE PRINT) e guarda se c'è la rete del tuo ufficio e di usare il gateway openvpn come instradamento. Il problema probabilmente è qua.

Se metti il flag a "usa gateway" lato nas, probabilmente risolvi il problema (ridirigendo TUTTO il traffico) ma così anche tutto il resto di internet passa di lì.

Se il problema è come immagino, una riga di ROUTE ADD risolve poi il tuo problema di raggiungere la rete ufficio da casa

[goodbyeduke]

Quote:

Originariamente inviato da Kaya

Dopo che hai lanciato la VPN, verifica il touring sul tuo pc client (cmd -> ROUTE PRINT) e guarda se c'è la rete del tuo ufficio e di usare il gateway openvpn come instradamento. Il problema probabilmente è qua.

192.168.1.1 è la rete lan dell'ufficio (la stessa del NAS) a cui devo accedere tramite vpn dall'esterno , 192.168.2.1 è una seconda scheda di rete sul PC che fa capo ad una rete separata a cui non mi interessa accedere, 10.8.0.1 è la VPN

Quote:

Originariamente inviato da Kaya

Se metti il flag a "usa gateway" lato nas, probabilmente risolvi il problema (ridirigendo TUTTO il traffico) ma così anche tutto il resto di internet passa di lì.

E giustamente io non voglio che tutto il traffico passi per la vpn, a me serve solo per accedere alle risorse dell'ufficio

Quote:

Originariamente inviato da Kaya

Se il problema è come immagino, una riga di ROUTE ADD risolve poi il tuo problema di raggiungere la rete ufficio da casa

C'è qualcosa che puoi consigliarmi da leggere per risolvere il problema? Ho cercato in internet ma non trovo nulla

Grazie

[goodbyeduke]

Quote:

Originariamente inviato da Kaya

Se il problema è come immagino, una riga di ROUTE ADD risolve poi il tuo problema di raggiungere la rete ufficio da casa

Una cosa del genere può fare al caso mio?

route -p ADD 10.8.0.0 MASK 255.255.255.252 10.8.0.1

[goodbyeduke]

Quote:

Originariamente inviato da goodbyeduke

Una cosa del genere può fare al caso mio?

route -p ADD 10.8.0.0 MASK 255.255.255.252 10.8.0.1

Niente da fare! ho aggiunto la riga di cui sopra e viene fuori questo



dal PC nella stessa rete del NAS riesco a pingare tutto (smartphone connesso in VPN 3G, Router Asus a casa, NAS) Da qualsiasi apparato invece, NAS compreso, non riesco a pingare il PC

:-( sob!

[mmiat]

Quote:

Originariamente inviato da goodbyeduke

aggiungo, sono entrato in ssh nel nas ho pingato il router a casa 10.8.0.2 e tutto ok, ho pingato il pc 10.8.0.6 nella rete locale del nas e nulla

scusa ma come fa' il pc ad avere 10.8.0.6 se la LAN del NAS è 192.168.1.0/24 ?

[Frezee07]

Ciao, scusami non lo pinghi, va bene, ma il ping è abilitato su questo PC? Ho riletto 3/4 volte la tua configurazione, ma mi spiace non è molto chiara per me. Ti posso chiedere uno schema veloce, anche a penna? Magari riusciamo ad aiutarti

Inviato dal mio Nexus 5X utilizzando Tapatalk

[goodbyeduke]

Quote:

Originariamente inviato da mmiat

scusa ma come fa' il pc ad avere 10.8.0.6 se la LAN del NAS è 192.168.1.0/24 ?

Come ho già spiegato il nas ha indirizzo 192.168.1.23 il PC 192.168.1.4; Il nas fa da server openvpn ed ha come indirizzo 10.8.0.1. AL pc (client vpn) quando si connette viene assegnato in dhcp il 10.8.0.6.
Connetto in vpn anche il router di casa (a cui viene assegnato 10.8.0.2) con in cascata tutti i pc che sono sotto di lui; connetto anche uno smartphone in 3G (10.8.0.10)
Io con tutti i client riesco a vedere le risorse del NAS, da tutti i client riesco a pingare gli altri client e il nas stesso tranne l'indirizzo ip (10.8.0.6) del PC che sta nella stessa rete del NAS (192.168.1.0/24) Dal nas (con putty) pingo tutti i client tranne il sopracitato PC. Questo è il problema. Perchè il PC che sta nella stessa rete del NAS non viene pingato dagli altri client e dal NAS stesso se lui inveci pinga tutti?

[goodbyeduke]

Quote:

Originariamente inviato da Frezee07

Ciao, scusami non lo pinghi, va bene, ma il ping è abilitato su questo PC? Ho riletto 3/4 volte la tua configurazione, ma mi spiace non è molto chiara per me. Ti posso chiedere uno schema veloce, anche a penna? Magari riusciamo ad aiutarti

Ecco lo schema, un pò rozzo :-)



La rete di casa (router asus) prima era della stessa classe del NAS 192.168.1.0/24 però da qualche parte ho letto che doveva essere diversa così l'ho cambiata. Sostanzialmente non è cambiato nulla però, a casa funzionava prima e funziona ora.

Grazie

[mmiat]

ma quindi il pc 192.168.1.4 si collega in vpn al nas e ottiene l'ip aggiuntivo 10.8.0.6 ?

[Kaya]

Hai un po di idee confuse onestamente.
Allora prima di tutto dal tuo ROUTE PRINT vedo che ci sono alcune cose che non tornano: hai più gateway e subnet diverse per la stessa sottorete.
Quindi c'è qualcosa che non torna.
Inoltre dall'ufficio non riesci ad accedere alla rete di casa (senza collegarsi in VPN che è però assurdo) perchè al tuo router devi dire che deve ridirigere quella rete sul NAS.
Il fatto che ci vogliano due reti differenti è corretto, altrimenti è un gran casino farle funzionare.

[Kaya]

Quote:

Originariamente inviato da mmiat

ma quindi il pc 192.168.1.4 si collega in vpn al nas e ottiene l'ip aggiuntivo 10.8.0.6 ?

Siccome non ha regole di routing per impostate sul router, l'unico modo che ha è quello di collegarsi al NAS in VPN, ma all'interno della stessa LAN (se ho capito bene)

[goodbyeduke]

Quote:

Originariamente inviato da Kaya

Hai un po di idee confuse onestamente.
Allora prima di tutto dal tuo ROUTE PRINT vedo che ci sono alcune cose che non tornano: hai più gateway e subnet diverse per la stessa sottorete.
Quindi c'è qualcosa che non torna.

Cerco di chiarire. Sul PC (dell'ufficio) su cui ho fatto il route print ci sono installate due schede di rete, una con indirizzo 192.168.1.4 che fa capo al router fastweb (blindato) e a tutta la rete dell'ufficio su cui è anche il NAS. Un'altra scheda di rete con indirizzo 192.168.2.10 fa capo ad un altro router connesso tramite wan al router fastweb. Questo secondo router mi serve per gestire altre cose e solo da questo PC. L'unico modo che ho avuto per accedere da questo pc alle due diverse reti è stato aggiungere:
route -p ADD 192.168.2.0 MASK 255.255.255.0 192.168.2.1.

Quote:

Originariamente inviato da Kaya

Inoltre dall'ufficio non riesci ad accedere alla rete di casa (senza collegarsi in VPN che è però assurdo) perchè al tuo router devi dire che deve ridirigere quella rete sul NAS.

Io non capisco quello che vuoi dire o sono io che non mi sono spiegato bene.

VPN a parte, io da casa all'ufficio (con indirizzo pubblico) mi collego in qualsiasi modo (ftp, web interface del nas, con Total Commander dal cel. accedo direttamente alle condivisioni del NAS, ecc.) e anche dall'ufficio a casa (con dyndns) Ho voluto mettere su una VPN per un discorso di sicurezza.
La VPN funziona perfettamente. Io accedo al server (NAS dell'ufficio) da qualsiasi client, sia da casa, sia da smartphone e sia dal PC dell'ufficio che sta nella stessa rete cablata del NAS.
Chiarisco ancora meglio, io non voglio collegarmi via VPN (al NAS) dal PC che sta nella stessa rete cablata del NAS; io con il PC mi collego al NAS direttamente via 192.168.1.23 (indirizzo NAS). Ho installato il client VPN su questo PC solo per fare delle prove e per vedere se dagli altri client riuscivo a raggiungere questo PC.

E la mia domanda è proprio questa: perchè tutti i client [smartphone, pc a casa (che sta sotto rete 192.168.10.1, erroneamente nel disegno precedente avevo scritto 192.168.2.1) ] si vedono (tramite ping) e vedono anche il NAS ma non vedono questo famigerato PC (quello che sta sulla stessa rete cablata del nas) e perchè il nas vede tutti i client ma non vede questo famigerato PC? E invece perchè questo famigerato PC vede tutti gli altri client e anche il NAS?

Quote:

Originariamente inviato da Kaya

Il fatto che ci vogliano due reti differenti è corretto, altrimenti è un gran casino farle funzionare.

Perfetto!

Quote:

Originariamente inviato da Kaya

Siccome non ha regole di routing per impostate sul router, l'unico modo che ha è quello di collegarsi al NAS in VPN, ma all'interno della stessa LAN (se ho capito bene)

Spero di aver chiarito che non è il mio scopo collegarmi dal pc della stessa rete in VPN al NAS.

E' difficile spiegare o sono io che non lo so fare :-)

Grazie dell'aiuto ;-)

[goodbyeduke]

Mi viene un dubbio anche se mi sembra molto strano.
Per la VPN feci aprire da fastweb la porta 1194 sull'indirizzo del NAS e a casa ho aperto la stessa porta per il router che si connette in VPN. Non è che per assurdo devo aprire la porta anche per il PC in questione?

[Kaya]

Quote:

Originariamente inviato da goodbyeduke

[SNIP]
E la mia domanda è proprio questa: perchè tutti i client [smartphone, pc a casa (che sta sotto rete 192.168.10.1, erroneamente nel disegno precedente avevo scritto 192.168.2.1) ] si vedono (tramite ping) e vedono anche il NAS ma non vedono questo famigerato PC (quello che sta sulla stessa rete cablata del nas) e perchè il nas vede tutti i client ma non vede questo famigerato PC? E invece perchè questo famigerato PC vede tutti gli altri client e anche il NAS?

Spero di aver chiarito che non è il mio scopo collegarmi dal pc della stessa rete in VPN al NAS.

E' difficile spiegare o sono io che non lo so fare :-)

Grazie dell'aiuto ;-)

Scusa ma da come la racconti sembra un raffazzonamento di più reti che funzionano con sputo e colla.

Io sono sempre propenso che hai problemi di routing.
Fai un confronto col ping e tracert, e verifica il transito dei pacchetti, dovrebbe essere un buon indizio per capire dov'è il blocco