|
|
|
|
Strumenti |
11-04-2019, 19:59 | #21 | ||
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
Quote:
Quote:
Inoltre ho bisogno che supporti DDNS di no-ip. Per questo la mia scelta era ricaduta su quel router. Purtroppo da ignorante non avevo considerato che tramite 4g le reti sono tutte nattate. Emulatore interfaccia web del router: https://emulator.tp-link.com/mr6400-v4/index.htm Ultima modifica di lucadigiulio : 11-04-2019 alle 20:06. Motivo: Aggiunto emulatore di interfaccia web del mio router |
||
11-04-2019, 20:39 | #22 | |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Quote:
__________________
Be kind. Everyone you meet is fighting a hard battle. |
|
11-04-2019, 21:12 | #23 |
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
|
12-04-2019, 07:34 | #24 |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Comunque nei prossimi giorni mi dovrebbe arrivare un router decisamente cazzuto... Vi farò sapere...
__________________
Be kind. Everyone you meet is fighting a hard battle. |
12-04-2019, 08:24 | #25 |
Member
Iscritto dal: Oct 2018
Messaggi: 223
|
|
12-04-2019, 08:29 | #26 | |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Quote:
A mia discolpa posso dire che è solo una settimana che ho implementato il tutto funzionante... Comunque si, ti ringrazio, non pensavo che i prezzi dei VPS fossero così concorrenziali, e soprattutto compreso un IP pubblico statico. BTW... tu come sei messo a iptables?
__________________
Be kind. Everyone you meet is fighting a hard battle. |
|
12-04-2019, 08:42 | #27 |
Member
Iscritto dal: Oct 2018
Messaggi: 223
|
Questa guida http://guide.debianizzati.org/index.php/Openvpn è un buon punto di partenza...
|
12-04-2019, 08:59 | #28 | |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Quote:
http://a2.pluto.it/a2/a258.htm#almlindex4169
__________________
Be kind. Everyone you meet is fighting a hard battle. |
|
14-04-2019, 10:26 | #29 |
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
Allora... sono a questo punto:
Ho acquistato un VPS, ci ho installato su tutto quello che serviva, ho configurato openvpn con interfaccia TAP e autenticazione con key. Ho testato il funzionamento sul router che ho a casa (un netgear con firmware mod che include un client openvpn). Si connette regolarmente. Preferisco però aumentare la sicurezza della connessione andando ad implementare il certificato, ma lo farò in seguito. Ora, vorrei testare il port forward del RDP, così da capire come configurarlo poi per le macchine all'interno della rete nattata nella quale dovrò aggiungere il dispositivo apposito (Raspberry??) Questo il log lato client: Codice:
OpenVPN log file restarted 04/14/19 09:49:06 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode OpenVPN 2.4.5 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Mar 26 2018 library versions: OpenSSL 1.0.2o 27 Mar 2018, LZO 2.10 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). TUN/TAP device ovpnc opened do_ifconfig, tt->did_ifconfig_ipv6_setup=0 /bin/ip link set dev ovpnc up mtu 1500 /bin/ip addr add dev ovpnc 10.0.0.2/32 broadcast 10.0.0.2 nice 12 succeeded TCP/UDP: Preserving recently used remote address: [AF_INET]89.*.*.*:1194 UDP link local: (not bound) UDP link remote: [AF_INET]89.*.*.*:1194 |
14-04-2019, 11:35 | #30 |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Aspetta... Se hai configurato il client VPN sul Netgear, perchè vuoi prendere anche il raspberry?
__________________
Be kind. Everyone you meet is fighting a hard battle. |
15-04-2019, 10:46 | #31 | |
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
Quote:
Io però ho bisogno del VPS in un altro posto dove (vedi precedente post) ho un router 4G sotto nat dell'operatore e devo accederci dall'esterno per raggiungere 3 macchine in SSH oltre all'interfaccia web del router stesso. |
|
15-04-2019, 11:05 | #32 | |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Quote:
Questa è la configurazione del mio server: Codice:
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -i tun0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.8.0.6 -A POSTROUTING -s 10.8.0.6/32 -o eth0 -j MASQUERADE COMMIT Poi sul client dovrai fare il nat verso l'IP di destinazione.
__________________
Be kind. Everyone you meet is fighting a hard battle. |
|
15-04-2019, 11:47 | #33 |
Senior Member
Iscritto dal: Jul 2016
Messaggi: 2379
|
confermo che ovviamente le regole indicate funzionano, occhio a modificare eventualmente anche il nome dell'if eth
|
16-04-2019, 20:38 | #34 | |
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
Quote:
Attualmente il mio iptables è così: Codice:
Chain INPUT (policy ACCEPT) target prot opt source destination f2b-ssh tcp -- anywhere anywhere multiport dports ssh f2b-sshd tcp -- anywhere anywhere multiport dports ssh ACCEPT udp -- 10.0.0.0/24 anywhere udp dpt:1194 state NEW,RELATED,ESTABLISHED ACCEPT all -- 10.0.0.0/24 anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 10.0.0.0/24 anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain f2b-ssh (1 references) target prot opt source destination RETURN all -- anywhere anywhere Chain f2b-sshd (1 references) target prot opt source destination RETURN all -- anywhere anywhere |
|
16-04-2019, 21:13 | #35 | |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Quote:
__________________
Be kind. Everyone you meet is fighting a hard battle. |
|
16-04-2019, 22:00 | #36 |
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
Si, l'ho installato, ma poi non funzionandomi, ho riconfigurato con TAP invece che con TUN ed ho provato altre configurazioni finchè è partito. Ora ho resettato iptables e si riparte da lì...
|
16-04-2019, 22:12 | #37 | |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Quote:
configura in modo che sia funzionante la VPN, poi pensiamo a iptables.
__________________
Be kind. Everyone you meet is fighting a hard battle. |
|
16-04-2019, 22:14 | #38 |
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
VPN funziona
|
16-04-2019, 22:42 | #39 |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11213
|
Bene. Quindi dal client riesci già a navigare attraverso il server VPN, giusto?
__________________
Be kind. Everyone you meet is fighting a hard battle. |
17-04-2019, 08:37 | #40 |
Member
Iscritto dal: Feb 2007
Messaggi: 102
|
Questo il log:
Codice:
Initialization Sequence Completed Inactivity timeout (--ping-restart), restarting SIGUSR1[soft,ping-restart] received, process restarting Re-using pre-shared static key TCP/UDP: Preserving recently used remote address: [AF_INET]89.*.*.*:1194 Preserving previous TUN/TAP instance: ovpnc TCP/UDP: Preserving recently used remote address: [AF_INET]89.*.*.*:1194 UDP link local: (not bound) UDP link remote: [AF_INET]89.*.*.*:1194 Peer Connection Initiated with [AF_INET]89.*.*.*:1194 WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.0.2 255.255.255.255', remote='ifconfig 10.0.0.0 255.255.255.0' Initialization Sequence Completed Codice:
OpenVPN STATISTICS Updated,Wed Apr 17 08:28:34 2019 TUN/TAP read bytes,24956 TUN/TAP write bytes,0 TCP/UDP read bytes,188 TCP/UDP write bytes,32632 Auth read bytes,147 END Codice:
# amod OpenVPN client configuration file # created by ovpnc 04/14/19 09:47:24 ######################################## # DO NOT touch these dev ovpnc dev-type tap dev-node /dev/tun1 proto udp fast-io nobind daemon writepid /var/run/openvpn_client.pid script-security 3 secret /etc/amod/conf/openvpn/openvpn_client_static.key log /tmp/ovpncpipe status /var/log/openvpn_client_status.log 60 ######################################## # You may touch these, but only # if you know what you are doing remote 89.*.*.* 1194 ifconfig 10.0.0.2 255.255.255.255 #user nobody #group nobody nice 12 mute 3 suppress-timestamps keepalive 10 60 ping-timer-rem persist-tun persist-key persist-remote-ip float # the usuals to have a working tunnel #fragment 1200 #mssfix 1200 |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:06.