VPN su OS X domande generali

[yebo]

Ciao ragazzi ho comprato un mac mini da usare come server e vorrei mettere su una VPN.
Leggo nelle istruzioni di OSX server:

"If you have an Internet router, users who also have Internet routers can’t access your VPN service if their intranet addresses begin with the same three numbers as yours.*For example, if your server’s IP address is 192.168.1.101, users can’t access your VPN service from other intranets with addresses that begin with 192.168.1"

(link:http://help.apple.com/advancedserver...F-EFCEA4888B01)

Le istruzioni forniscono due soluzioni a questo problema:

1)Chiedere agli utenti VPN di cambiare l'indirizzo IP della loro intranet (mi sembra scomodo)
2)Cambiare l'indirizzo IP della mia intranet da 192.168.1.xxx a 192.168.A.xxx con A diverso da 0 o 1 (per evitare gli indirizzi di rete più comuni).

Penso di adottare la seconda soluzione, andrò quindi nella mia pagina del router (192.168.1.1), e sulla tab "LAN" imposterò i parametri per la mia rete cambiando gli "1" cerchiati in foto con ad esempio "4".



L'indirizzo del router cambierà quindi in 192.168.4.1. e quello generale della mia intranet in 192.168.4.xxx

Ho due domande:

1) Posso fare tranquillamente un'operazione del genere o devo fare altri cambiamenti?
(Ho una connessione aziendale che fornisce IP fisso e l'indirizzo IP del mio server è impostato fisso anch'esso).

2) Poiché l'ip fisso che ho assegnato al server è 192.168.1.201 è attualmente compreso nel range di IP assegnati al servizio DHCP per evitare conflitti potrebbe risultare utile impostare il servizio DHCP con

- ip iniziale: 192.168.1.2 (oppure 192.168.4.2 dopo la modifica)
- ip finale: 192.168.1.253 (oppure 192.168.4.253 dopo la modifica)

e assegnare al server (impostato con static IP) l'indirizzo 192.168.1.254 (o 192.168.4.254 dopo le modifiche)?

Grazie dell'aiuto, e scusate se le mie domande sono banali ma sto muovendo i primi passi in questo campo.

[malatodihardware]

Devi mettere al server un IP statico sulla classe 192.168.4.x e per evitare problemi mettilo fuori dal range del DHCP.

Per il resto non cambia niente (a meno che hai qualche NAT configurato che dovrai rigirare sulla nuova classe).
PS: Cambia router..

[Tasslehoff]

Mi associo all'appello di malatodihardware, mettiamola così, per muovere i primi massi in quest'ambito hai scelto il sistema operativo meno adatto e meno usato (OSX è già di nicchia in ambito client, figurati che diffusione può avere in ambito server, considerando poi che a parte quelli generici non ci sono servizi che girino su OSX...).
Il fatto che la documentazione di un server (che in linea teorica dovrebbe essere tecnica e specializzata) etichetti gli ottetti di un indirizzo ip come "numeri" la dice lunga

Tornando alla VPN il mio consiglio è quello di cestinare quel servizio di OSX e usare una vpn ssl come OpenVPN.
Trovo che la restrizione che ti indica la documentazione sia assurda (puoi aggirare il problema finchè vuoi cambiando la sottorete che utilizzi, ma si tratta di rendere meno probabile che si verifiche un problema, non è una vera soluzione) e molto probabilmente è dovuta a una pessima implementazione del servizio VPN su OSX o degli instradamenti fatti dal servizio.

[malatodihardware]

Quote:

Originariamente inviato da Tasslehoff

Tornando alla VPN il mio consiglio è quello di cestinare quel servizio di OSX e usare una vpn ssl come OpenVPN.
Trovo che la restrizione che ti indica la documentazione sia assurda (puoi aggirare il problema finchè vuoi cambiando la sottorete che utilizzi, ma si tratta di rendere meno probabile che si verifiche un problema, non è una vera soluzione) e molto probabilmente è dovuta a una pessima implementazione del servizio VPN su OSX o degli instradamenti fatti dal servizio.

Il problema della subnet differente dovrebbe esserci anche con OpenVPN, o mi sbaglio?

[Tasslehoff]

Quote:

Originariamente inviato da malatodihardware

Il problema della subnet differente dovrebbe esserci anche con OpenVPN, o mi sbaglio?

Configurando OpenVPN in modalità bridge non c'è alcun problema di subnet.

[malatodihardware]

Ok, ma ti riferisci alla subnet assegnata al client VPN, ma se la sua subnet di destinazione si sovrappone a quella da dove si sta collegando?

[Tasslehoff]

Quote:

Originariamente inviato da malatodihardware

Ok, ma ti riferisci alla subnet assegnata al client VPN, ma se la sua subnet di destinazione si sovrappone a quella da dove si sta collegando?

E' esattamente questo il caso, usando il bridging di OpenVPN le due sottoreti risultano unite dal bridge composto dai due estremi della vpn.

Codice:

		   web			 web
		    ^			  ^
		    |			  |
SITE1		    |			  |      SITE2
192.168.0.0/24----VPN1......OPENVPN......VPN2----192.168.0.0/24

Naturalmente occorre fare attenzione ad alcuni dettagli (es bloccare i pacchetti udp di eventuali server dhcp attivi sulle due sottoreti dei due site) e fare attenzione ad eventuali conflitti ip (che però sono problemi legati ai singoli host, non alla sottorete), però la cosa è fattibile.

[malatodihardware]

Considerando una site-to-site sì, pensavo ti riferissi a una road-warrior, perchè lui indica:
- Chiedere agli utenti VPN di cambiare l'indirizzo IP della loro intranet (mi sembra scomodo)

[Tasslehoff]

Quote:

Originariamente inviato da malatodihardware

Considerando una site-to-site sì, pensavo ti riferissi a una road-warrior, perchè lui indica:
- Chiedere agli utenti VPN di cambiare l'indirizzo IP della loro intranet (mi sembra scomodo)

Esatto, in genere questa configurazione la si trova soprattutto nelle vpn site-site, però considerando la flessibilità di OpenVPN nel poter definire regole di routing e giostrandosi col nat credo che si possa tranquillamente adattare anche ad una configurazione con un singolo host che si collega alla VPN.
E' una alternativa indolore lato utente ma che sposta la complessità sulla configurazione del server vpn, permette di non cambiare alcun indirizzamento sulle due lan e usare il server VPN come router tra la lan e la sottorete usata per la VPN.
Nel dettaglio:

Codice:

SITE1		   			  	SITE2
192.168.0.0/24	     			        192.168.0.0/24
|   		     			   	    |
HOST1                			            |
192.168.0.10	     WEB                WEB         |
|		      ^                  ^          |
|		      |                  |          |
|		      |                  |          |				  
VPN SERVER	      |			 |	  HOST2
192.168.0.254 ETH0    |			 | 	  192.168.0.1 ETH0
10.0.0.1 TAP0------OPENVPN............OPENVPN-----10.0.0.2 TAP0

Ovviamente questo comporterebbe un lavoro non indifferente di nat da parte del server VPN, mi riferisco chiaramente alla configurazione lato server, non per il carico.
Poi potrebbe essere utile far agire il vpn server da proxy arp e da dns intermedio (ma giusto per non farsi mancar nulla, per quanto mi riguarda i client vpn possono anche "attaccarsi al tram" e mapparsi le risoluzioni nel file hosts...)

[malatodihardware]

Grazie per il chiarimento tecnico..

Quote:

Originariamente inviato da Tasslehoff

per quanto mi riguarda i client vpn possono anche "attaccarsi al tram" e mapparsi le risoluzioni nel file hosts...

Per quanto mi riguarda possono inserire direttamente l'indirizzo ip..