HELP - OpenVPN
astro.del.cielo
http://tinyurl.com/8pzv77
Come si puo' vedere dal mio schema la mia rete si compone di un Client1 (IP
192.168.2.112) e di un SERVER (IP 192.168.1.83)
Tutto funziona pefettamente, dal Client1 pingo senza problemi il SERVER
> Risposta da 192.168.1.83: byte=32 durata=201ms TTL=128
L'unica cosa che non riesco a fare (e ci sto diventanto matto) è quella di
pingare il ROUTER3 ISDN (192.168.1.2) direttamente dal client1
> C:\>ping 192.168.1.2 - Richiesta scaduta.
La versione che uso è la openvpn-2.0.9
Posto le conf del server e del client
SERVER:
server_routed.ovpn
---------------------------------------
port 1194
proto udp
dev tun
dev-node "OpenVPN"
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
tls-auth key.txt 0 # This file is secret
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
verb 3
---------------------------------------
CLIENT:
client1_routed.ovpn
---------------------------------------
client
dev tun
dev-node "OpenVPN"
proto udp
remote 81.75.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
tls-auth key.txt 1
comp-lzo
verb 3
---------------------------------------
Grazie & Buone Feste
--
a.d.c.
Cujo
> Non riesco a venirne fuori....
[..]
Calma, ragioniamo e vedrai che si riesce. ;)
> http://tinyurl.com/8pzv77
> Come si puo' vedere dal mio schema la mia rete si compone di un Client1 (IP
> 192.168.2.112) e di un SERVER (IP 192.168.1.83)
SERVER intendi rispetto ad OpenVPN ?
> Tutto funziona pefettamente, dal Client1 pingo senza problemi il SERVER
>> Risposta da 192.168.1.83: byte=32 durata=201ms TTL=128
> L'unica cosa che non riesco a fare (e ci sto diventanto matto) è quella di
> pingare il ROUTER3 ISDN (192.168.1.2) direttamente dal client1
A naso, e *sempre se ho capito bene*, perchè la cosa funzioni servono
due cose:
1) che il server openvpn FACCIA ROUTING (ip_forwarding) fra
l'interfaccia sulla LAN e quella virtuale del tunneling. Questo permette
al tuo pacchetto ICMP di raggiungere apparati in LAN diversi
dall'endpoint OpenVPN.
2) che gli apparati sulla LAN *SAPPIANO* instradare correttamente la
risposta. Il che significa che sappiano che la subnet del tuo client
(192.168.2.0/24) vada raggiunta usando l'endpoint openVPN come gateway,
piuttosto che il default gateway "solito".
Se ti basta raggiungere UNA particolare macchina potresti aggiungere una
route statica sulla macchina stessa, viceversa puoi farlo a livello di
rete intera in modo da non dover impostare la route su tutte le macchine
in lan. In questo caso il DEFAULT GATEWAY della tua LAN dovrà avere la
solita route statica. Trattandosi di due gateway sulla stessa subnet,
tipicamente il router manderà un pacchetto di ICMP REDIRECT alla
macchina interessata che verdrà "dinamicamente" aggiornarsi le proprie
tabelle di routing in modo da non "importunare" più il gateway sbagliato.
ciao, f.
astro.del.cielo
> Calma, ragioniamo e vedrai che si riesce. ;)
OK ^__^
> SERVER intendi rispetto ad OpenVPN ?
Si (cmq lo è anche per altre cose)
> A naso, e *sempre se ho capito bene*, perchè la cosa funzioni servono
> due cose:
>
> 1) che il server openvpn FACCIA ROUTING (ip_forwarding) fra
> l'interfaccia sulla LAN e quella virtuale del tunneling. Questo
> permette al tuo pacchetto ICMP di raggiungere apparati in LAN diversi
> dall'endpoint OpenVPN.
>
> 2) che gli apparati sulla LAN *SAPPIANO* instradare correttamente la
> risposta. Il che significa che sappiano che la subnet del tuo client
> (192.168.2.0/24) vada raggiunta usando l'endpoint openVPN come
> gateway, piuttosto che il default gateway "solito".
Ok, ma in pratica cosa devo fare!?
Si puo' fare anche se quello che devo raggiungere io è un ROUTER3 ISDN
(192.168.1.2)?
Vedi lo schema...
> Se ti basta raggiungere UNA particolare macchina potresti aggiungere
> una route statica sulla macchina stessa, viceversa puoi farlo a
> livello di rete intera in modo da non dover impostare la route su
> tutte le macchine in lan. In questo caso il DEFAULT GATEWAY della tua
> LAN dovrà avere la solita route statica. Trattandosi di due gateway
> sulla stessa subnet, tipicamente il router manderà un pacchetto di
> ICMP REDIRECT alla macchina interessata che verdrà "dinamicamente"
> aggiornarsi le proprie tabelle di routing in modo da non
> "importunare" più il gateway sbagliato.
Forse non mi sono spiegato, quello che devo raggiungere non è un PC, ma un
ROUTER3 ISDN (192.168.1.2)
Quindi in questo caso non è possibile giusto?
TNX
--
a.d.c.
Cujo
> Ok, ma in pratica cosa devo fare !?
Te l'ho già spiegato.
Ci riprovo:
1) Abilita il routing sul server windows 2000 che fa da endpoint VPN.
Non ho idea di come si faccia su win 2000, in linux basta un
# echo 1 > /proc/sys/net/ipv4/ip_forward
Guarda in strumenti di amministrazione -> routing e eccesso remoto o qc.
del genere, prova a googolare per capire come si abilita il routing fra
interfacce su windows 2000.
2) La macchina che vuoi raggiungere *deve* avere la route corretta per
poter instradare la risposta. Se la macchina è un router, inserisci in
quel router una route statica in modo che venga usato il server windows
2000 *COME GATEWAY* per la subnet 192.168.2.x (quella dei clients openvpn).
> Si puo' fare anche se quello che devo raggiungere io è un ROUTER3 ISDN
> (192.168.1.2)?
Non vedo perchè no ... ti lascia impostare una route statica ?
ciao, f.
astro.del.cielo
> qc. del genere, prova a googolare per capire come si abilita il
> routing fra interfacce su windows 2000.
OK
Provo a vedere cosa trovo
Il comando dovrebbe essere ROUTE
> Non vedo perchè no ... ti lascia impostare una route statica ?
Ho guardato e pare proprio di si, ho trovato questo menu:
> Menu 12 - IP Static Route Setup
Intanto ti ringrazio delle dritte.
--
a.d.c.
Cujo
> OK
> Provo a vedere cosa trovo
> Il comando dovrebbe essere ROUTE
Hmmm no, non credo.
E' da un po' che non amministro server win, però...
Route serve per manipolare le tabelle di routing (aggiungere o rimuovere
routes).
Questo in effetti è proprio il punto 2 spiegato prima, solo che va fatto
SULLA MACCHINA che vuoi raggiungere (ovvero l'altro router) e non sul
server 2000 che da questo punto di vista dovrebbe essere già a a posto.
Per "abilitare il routing" intendo che devi dire a windows 2000 che DEVE
routare pacchetti destinati ad altre subnet, se può farlo. E' un
settaggio di tipo "on / off". O routa o non routa. Di default suppongo
proprio non lo faccia.
Prova a chiedere su un NG adatto (o google) come si abilita il routing
su windows 2000 server. Purtroppo non lo ricordo, altrimenti te l'avrei
detto.
> Ho guardato e pare proprio di si, ho trovato questo menu:
>> Menu 12 - IP Static Route Setup
Ok, ottimo.
Non so in che "forma" tu debba inserire la route, in ogni caso
l'informazione da inserire è:
"per raggiungere la rete 192.168.2.0/24, il gateway da usare è
192.168.1.83". Ovviamente perchè 192.168.1.83 FACCIA *EFFETTIVAMENTE* da
gateway, devi aver sistemato il punto precedente.
fammi sapere.
ciao, f.
astro.del.cielo
> Per "abilitare il routing" intendo che devi dire a windows 2000 che
> DEVE routare pacchetti destinati ad altre subnet, se può farlo. E' un
> settaggio di tipo "on / off". O routa o non routa. Di default suppongo
> proprio non lo faccia.
Aaaaaahhhhh
allora dovrebbe essere semplicemente questo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IPEnableRouter"=dword:00000001
> Non so in che "forma" tu debba inserire la route, in ogni caso
> l'informazione da inserire è:
>
> "per raggiungere la rete 192.168.2.0/24, il gateway da usare è
> 192.168.1.83". Ovviamente perchè 192.168.1.83 FACCIA *EFFETTIVAMENTE*
> da gateway, devi aver sistemato il punto precedente.
Allora in questo menu trovo queste 2 regole
------------------------------------------
Route #: 1
Route Name= route
Active= Yes
Destination IP Address= 192.168.3.0
IP Subnet Mask= 255.255.254.0
Gateway IP Address= 172.16.0.1
Metric= 1
Private= No
------------------------------------------
Route #: 2
Route Name= rout
Active= No
Destination IP Address= 192.168.1.1
IP Subnet Mask= 255.255.255.0
Gateway IP Address= 172.16.0.1
Metric= 2
Private= No
------------------------------------------
Io dovrei creare questa ok?
------------------------------------------
Route #: 3
Route Name= routevpn
Active= Yes
Destination IP Address= 192.168.2.0
IP Subnet Mask= 255.255.255.0
Gateway IP Address= 192.168.1.83
Metric= 2
Private= No
------------------------------------------
Un'altra cosa che non ho mai capito, quando si scrive 192.168.2.0/24 cosa si
intende?
Gli IP che vanno da 192.168.2.0 a 192.168.2.24?
> fammi sapere.
Che dici?
--
a.d.c.
Cujo
> Aaaaaahhhhh
> allora dovrebbe essere semplicemente questo:
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
> "IPEnableRouter"=dword:00000001
ecco, questo potrebbe essere !
> Io dovrei creare questa ok?
> ------------------------------------------
> Route #: 3
> Route Name= routevpn
> Active= Yes
> Destination IP Address= 192.168.2.0
> IP Subnet Mask= 255.255.255.0
> Gateway IP Address= 192.168.1.83
> Metric= 2
> Private= No
> ------------------------------------------
Direi proprio che ci siamo !
> Un'altra cosa che non ho mai capito, quando si scrive 192.168.2.0/24 cosa si
> intende?
> Gli IP che vanno da 192.168.2.0 a 192.168.2.24?
No !
Si intende la *rete* con indirizzo 192.168.2.0 e netmask 255.255.255.0.
/24 perchč se scrivi 255.255.255.0 in *binario* ottieni
11111111.11111111.11111111.00000000
ed i bit a "1" sono i primi 24 da sinistra.
/24 č semplicemente un'abbreviazione per 255.255.255.0, cosě come /16
č abbreviazione di 255.255.0.0. (11111111.11111111.00000000.00000000)
Ti consiglierei un po' di letture sulle *basi* delle reti, le cose da
sapere *assolutamente* non sono molte nč complicatissime, e la vita ti
si semplifica parecchio. (beh, la vita da nerd almeno ;) )
ciao, f.
astro.del.cielo
> Direi proprio che ci siamo !
Era troppo bello per essere vero...
Ecco casa ottengo:
C:\>TRACERT 192.168.1.2
Rilevazione instradamento verso 192.168.1.2 su un massimo di 30 punti di
passaggio
1 102 ms 133 ms 103 ms VEGA [192.168.0.1]
2 * * * Richiesta scaduta.
3 * * * Richiesta scaduta.
4 * * * Richiesta scaduta.
Cosa potrebbe essere?? :-/
I firewall e antivirus sono disattivati.
--
a.d.c.
Cujo
[..]
> Cosa potrebbe essere?? :-/
> I firewall e antivirus sono disattivati.
Hmmm. Sto uscendo ;)
Appena ho un sec. di tempo riguardo con calma tutta la config.
DEVE funzionare per forza se č tutto a posto. Il problema č che basta
*una* cosa "non" a posto. ;)
ciao, f.
astro.del.cielo
> Appena ho un sec. di tempo riguardo con calma tutta la config.
TNX
Avanzi una birra!
> DEVE funzionare per forza se è tutto a posto. Il problema è che basta
> *una* cosa "non" a posto. ;)
Infatti :-)
--
a.d.c.
astro.del.cielo
C:\>telnet 192.168.1.2
Connessione a 192.168.1.2...Impossibile aprire una connessione con l'host
sulla
porta 23 : Connessione non riuscita
A questo punto non riesco neanche piu' dal server a rifare il telnet
192.168.1.2
Devo riavviare il serve per riportare la cosa alla normalita'
Quindi, secondo me, riesco a raggiungere il router in andata, ma la risposta
non viene correttamente reindirizzata...
--
a.d.c.
astro.del.cielo
> A questo punto non riesco neanche piu' dal server a rifare il telnet
> 192.168.1.2
> Devo riavviare il serve per riportare la cosa alla normalita'
Mi correggo, dopo un paio di minuti riesco a fare il telnet dal server,
senza doverlo riavviare
--
a.d.c.
Cujo
> Mi correggo, dopo un paio di minuti riesco a fare il telnet dal server,
> senza doverlo riavviare
Eccomi ...
Ero via per natale, sono appena tornato ...
Fra oggi e domani mi guardo tutta la config e ci penso un po' su.
Scusa l'attesa, ho un tot. altre di cose da fare ... ;)
ciao, f.
astro.del.cielo
> Fra oggi e domani mi guardo tutta la config e ci penso un po' su.
> Scusa l'attesa, ho un tot. altre di cose da fare ... ;)
*FUNZIONA!!!!!!!!!!!!!*
Ecco la regola3 corretta
-----------------------------------
Route #: 3
Route Name= routevpn
Active= Yes
Destination IP Address= 192.168.2.0
IP Subnet Mask= 255.255.*252*.0
Gateway IP Address= 192.168.1.83
Metric= 2
Private= No
-----------------------------------
Riesco a pingare il ROUTER3 alla grande. Ovviamente ora va anche il TELNET!
Ora la conferma al 100% ce l'avro' solo lunedě quando riaccenderenno il
server4 ISDN raggiunto dal ROUTER3 ISDN
Grazie dell'aiuto ;-)
--
a.d.c.
Cujo
> *FUNZIONA!!!!!!!!!!!!!*
> Ecco la regola3 corretta
[..]
> IP Subnet Mask= 255.255.*252*.0
!!!
Ma ... non ha alcun senso !!!
Prova a rimettere la netmask di prima ...
Non ha senso che vada cosě ... o meglio ... hai "allargato" la netmask
... quella corretta era la precedente !!
boh !
ciao, f.
astro.del.cielo
> Non ha senso che vada cosě ... o meglio ... hai "allargato" la netmask
> ... quella corretta era la precedente !!
Boh infatti, cmq aspetto lunedě che mi riaccendino l'altro server ISDN e
faccio la prova del 9.
Certo che se cosě funziona io lascio cosě.
--
a.d.c.
astro.del.cielo
> Non ha senso che vada cosě ... o meglio ... hai "allargato" la
> netmask ... quella corretta era la precedente !!
Alč non funziona... Era troppo bello.
Ho provato a disabilitare la regola 1
E ho messo la subnet della regola a 255.255.*255*.0
Ma in questo modo non riesco a pingare il router3
L'unico modo che ho per pingarlo č quello di mettere la subnet mask
255.255.*252*.0
Non riesco a venirne fuori.. :-/
--
a.d.c.
Omero
> > netmask ... quella corretta era la precedente !!
>
> Ho provato a disabilitare la regola 1
> E ho messo la subnet della regola a 255.255.*255*.0
> Ma in questo modo non riesco a pingare il router3
> 255.255.*252*.0
>
> Non riesco a venirne fuori.. :-/
>
> --
> a.d.c.
Ciao
hai postato questo:
SERVER:
server_routed.ovpn
---------------------------------------
port 1194
proto udp
dev tun
dev-node "OpenVPN"
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
tls-auth key.txt 0 # This file is secret
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
verb 3
---------------------------------------
ok ma:
server 192.168.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
non conosco come si configura questo file ma questi ip da dove saltano
fuori??? il server non è 192.168.1.83 e il client 192.168.2.112.
Qui: http://www.ubuntuserver.it/?cat=5 ho trovato che server deve
essere la subnet dei client e quindi in teoria invece di 192.168.0.0
255.255.255.0 dovrà essere 192.168.2.0 255.255.255.0 e che push indica
la router per raggiungere il server che nel tuo caso è corretta visto
che la subnet del server è 192.168.1.0 255.255.255.0.
e poi questa route:
------------------------------------------
Route #: 1
Route Name= route
Active= Yes
Destination IP Address= 192.168.3.0
IP Subnet Mask= 255.255.254.0
Gateway IP Address= 172.16.0.1
Metric= 1
Private= No
------------------------------------------
L'hai creata tu? anche qui c'è un 254 anomalo.
Ciao
astro.del.cielo
> Qui: http://www.ubuntuserver.it/?cat=5 ho trovato che server deve
> essere la subnet dei client e quindi in teoria invece di 192.168.0.0
> 255.255.255.0 dovrà essere 192.168.2.0 255.255.255.0 e che push indica
> la router per raggiungere il server che nel tuo caso è corretta visto
> che la subnet del server è 192.168.1.0 255.255.255.0.
Ho impostato
server 192.168.2.0 255.255.255.0
Questa cosa mi era veramente sfuggita!!! TNX!
Poi ho messo
------------------------------------------
Route #: 3
Route Name= routevpn
Active= Yes
Destination IP Address= 192.168.2.0
IP Subnet Mask= 255.255.255.0
Gateway IP Address= 192.168.1.83
Metric= 1
Private= No
------------------------------------------
Ora riesco dal mio PC pingare il router!!
(E anche altri PC sulla lan del router, che prima non riuscivo)
> ------------------------------------------
> Route #: 1
> Route Name= route
> Active= Yes
> Destination IP Address= 192.168.3.0
> IP Subnet Mask= 255.255.254.0
> Gateway IP Address= 172.16.0.1
> Metric= 1
> Private= No
> ------------------------------------------
>
> L'hai creata tu? anche qui c'è un 254 anomalo.
No mi me l'ha passata chi ha configurato il server 192.168.3.0
Mi ha detto che serviva per dividere 2 reti.
Cmq ora ho messo IP Subnet Mask= 255.255.255.0
Ora il problema che mi rimane è pingare il server 192.168.3.1
Ecco cosa ottengo dal mio PC LIANLI:
C:\>tracert 192.168.3.1
Rilevazione instradamento verso 192.168.3.1
su un massimo di 30 punti di passaggio
1 101 ms 103 ms 100 ms VEGA [192.168.2.1]
2 * * * Richiesta scaduta.
3 105 ms 104 ms 106 ms 192.168.1.2
4 144 ms 149 ms 144 ms 172.16.0.1
5 * * * Richiesta scaduta.
6 * * * Richiesta scaduta.
Ora dove potrebbe essere il problema?
Ecco lo schema aggiornato della situazione:
http://tinyurl.com/8vu4ad
Il fatto che i 2 PC si chiamino VEGA ma su 2 reti diverse puo' essere un
problema?
Per instradare il ping verso il router3 ISDN sul mio PC LIANLI ho aggiunto
questa regola:
route add 192.168.3.0 mask 255.255.255.0 192.168.2.5
TNX!
--
a.d.c.
astro.del.cielo
> http://tinyurl.com/8vu4ad
OPS!
Ecco lo schema corretto.
http://tinyurl.com/6w9tso
--
a.d.c.
Omero
che hai mandato sarà dura.
On 29 Dic, 18:22, "astro.del.cielo" <v...@lasignature.com> wrote:
>> ------------------------------------------
>> Route #: 1
>> Route Name= route
>> Active= Yes
>> Destination IP Address= 192.168.3.0
>> IP Subnet Mask= 255.255.254.0
>> Gateway IP Address= 172.16.0.1
>> Metric= 1
>> Private= No
>> ------------------------------------------
>> L'hai creata tu? anche qui c'è un 254 anomalo.
>No mi me l'ha passata chi ha configurato il server 192.168.3.0
>Mi ha detto che serviva per dividere 2 reti.
>Cmq ora ho messo IP Subnet Mask= 255.255.255.0
Questa route è nello zixel 650R??
Ma scusa tu con quest route riesci a pingare da una macchina
192.168.1.X il 192.168.3.1?????
172.16.0.1 non è un ip della subnet del 650R che quindi dovrebbe
inviare i pacchetti in internet tramite il gateway.
Da quello che so io il gateway deve essere un ip della subnet del
router e in questo caso per raggiungere la sede 3 dovrebbe essere l'ip
del router ISDN 3 che avra all'interno poi una regola per raggiungere
gli ip 172.16.0.X ma non credo proprio un ip 192.168.3.X
> Ora il problema che mi rimane è pingare il server 192.168.3.1
> Ecco cosa ottengo dal mio PC LIANLI:
>
> C:\>tracert 192.168.3.1
>
> Rilevazione instradamento verso 192.168.3.1
> su un massimo di 30 punti di passaggio
>
> 1 101 ms 103 ms 100 ms VEGA [192.168.2.1]
e chi è questo? nello schema non lo trovo
> 2 * * * Richiesta scaduta.
> 3 105 ms 104 ms 106 ms 192.168.1.2
> 4 144 ms 149 ms 144 ms 172.16.0.1
> 5 * * * Richiesta scaduta.
> 6 * * * Richiesta scaduta.
>
> Ora dove potrebbe essere il problema?
Intanto già che arrivi tramite le due vpn fino al 172.16.0.1 mi sembra
buono. anche se non capisco come sia possibile con queste route, tu
arrivi con la vpn da 192.168.2.112 a 192.168.1.83 (e nel ping non vedo
questi ip) ma qui come ha fatto poi a sapere che per andare al
192.168.3.X doveva passare per 172.16.0.1? hai aggiunto tu una route
nel pc server vpn?
Ma per curiosità tra i router isdn c'è già una vpn in piedi?
Il dg834g supporta le vpn ipsec il 650R-31 invece? non lo supporta?
> Il fatto che i 2 PC si chiamino VEGA ma su 2 reti diverse puo' essere un
> problema?
No visto che quasi sicuramente non passa il broadcast attraverso le
VPN e quindi non puoi usare la risoluzione dei nomi NETBIOS
eventualmente dovresti metter su un server DNS.
In pratica tra le VPN attualmente i pc comunicano tramite IP e basta.
> Per instradare il ping verso il router3 ISDN sul mio PC LIANLI ho aggiunto
> questa regola:
> route add 192.168.3.0 mask 255.255.255.0 192.168.2.5
Non ho idea di chi sia quel gateway nello schema che hai postato il
dg834g ha come ip 192.168.2.19.comunque raggiungi il router isdn
172.16.0.1 quindi sei ok
Secondo me tutto il problema è dovuto al fatto che l'ip del pc VEGA
sulla sede 3 è 192.168.3.1 e non può comunicare con l'ip 172.16.0.1
senza un router di mezzo.
I pc della sede 3 devono avere ip uguale alla subnet del gateway
altrimenti non funziona, perchè è fuori subnet?
Se ci fosse un router tra il router isdn 4 e il pc VEGA con wan
172.16.0.2 (per esempio) e lan 192.168.3.2 (per esempio) impostando
una semplice route statica sul router isdn 4 route add 192.168.3.0
mask 255.255.255.0 172.16.0.2 allora il ping raggiungerebbe il pc
VEGA.
C'è per caso nella sede 3 un'altro router adsl? con ip 192.168.3.X?
Che casino!!! in pratica serve una route su ogni apparato che fa
routing sia in andata che in ritorno.
Credo che un router può gestire la propria subnet e la subnet remota
specificata nella policy vpn ma non puo avere un route che non con un
gateway non compreso tra queste due subnet.
Con tutti questi ip che non tornano rispetto allo schema non mi
capisco vediamo se riesci a spiegarmi quelle cose che mi sono perso.
Ciao
astro.del.cielo
>>> ------------------------------------------
>>> Route #: 1
>>> Route Name= route
>>> Active= Yes
>>> Destination IP Address= 192.168.3.0
>>> IP Subnet Mask= 255.255.254.0
>>> Gateway IP Address= 172.16.0.1
>>> Metric= 1
>>> Private= No
>>> ------------------------------------------
> Questa route è nello zixel 650R??
No, è nel ROUTER3 100IH
> Ma scusa tu con quest route riesci a pingare da una macchina
> 192.168.1.X il 192.168.3.1?????
Si, si
> 172.16.0.1 non è un ip della subnet del 650R che quindi dovrebbe
> inviare i pacchetti in internet tramite il gateway.
> Da quello che so io il gateway deve essere un ip della subnet del
> router e in questo caso per raggiungere la sede 3 dovrebbe essere l'ip
> del router ISDN 3 che avra all'interno poi una regola per raggiungere
> gli ip 172.16.0.X ma non credo proprio un ip 192.168.3.X
Allora, io non ho tutti i dati della rete 3.0 (SEDE3)
Quindi non so esattamente come è strutturata.
So che il server che devo raggiungere è 192.168.3.1
E so che in tale SEDE3 esiste una sottorete 172.16.0.1
Poi questa cosa la "leggo" della route che mi hanno messo nel mio router3
Cioè questa:
--------------------------------
Route #: 1
Route Name= route
Active= Yes
Destination IP Address= 192.168.3.0
IP Subnet Mask= 255.255.255.0
Gateway IP Address= 172.16.0.1
Metric= 1
Private= No
--------------------------------
Regola che era anche l'unica di attiva nel router prima che ci mettessi le
mano io.
Premetto anche che tra la rete 1.83 (SEDE2) e 3.1 (SEDE3) ha sempre
funzionato tutto bene.
(E ancora funziona)
Tutte le chiamate al server 3.1 vengono correttamente instradate e risposte.
Se devi raggiungere la rete 192.168.3.0 devi passare per il 172.16.0.1
Esiste anche questa regola nel router3
--------------------------------
Menu 4 - Internet Access Setup
ISP's Name= remote
Pri Phone #= 1234567890
Sec Phone #= ********
My Login= ********
My Password= ********
My WAN IP Addr= 172.16.0.2
NAT= None
Address Mapping Set= N/A
Telco Options:
Transfer Type= 64K
Multilink= Off
Idle Timeout= 120
--------------------------------
Che significa, che se devi raggiungere la rete 172.16.0.2 attivati e chiama
il numero di telefono 1234567890
>> Ora il problema che mi rimane è pingare il server 192.168.3.1
>> Ecco cosa ottengo dal mio PC LIANLI:
>>
>> C:\>tracert 192.168.3.1
>>
>> Rilevazione instradamento verso 192.168.3.1
>> su un massimo di 30 punti di passaggio
>>
>> 1 101 ms 103 ms 100 ms VEGA [192.168.2.1]
>
> e chi è questo? nello schema non lo trovo
E' VEGA -SEDE2- 192.168.1.83
Quando fa da Server OpenVPN e ha come client una rete 2.0
Automaticamente in quella rete appare come 192.168.2.1
La famosa direttiva che mi avevi detto tu di modificare:
server 192.168.2.0 255.255.255.0
>
>> 2 * * * Richiesta scaduta.
>> 3 105 ms 104 ms 106 ms 192.168.1.2
>> 4 144 ms 149 ms 144 ms 172.16.0.1
>> 5 * * * Richiesta scaduta.
>> 6 * * * Richiesta scaduta.
>>
>> Ora dove potrebbe essere il problema?
>
> Intanto già che arrivi tramite le due vpn fino al 172.16.0.1 mi sembra
> buono. anche se non capisco come sia possibile con queste route, tu
> arrivi con la vpn da 192.168.2.112 a 192.168.1.83 (e nel ping non vedo
> questi ip)
192.168.1.83 = 192.168.2.1
> ma qui come ha fatto poi a sapere che per andare al
> 192.168.3.X doveva passare per 172.16.0.1? hai aggiunto tu una route
> nel pc server vpn?
Me lo sono gia' trovato impostato
> Ma per curiosità tra i router isdn c'è già una vpn in piedi?
Si collegano direttamente, non passano per internet.
Se è questo quello che intendevi
> Il dg834g supporta le vpn ipsec il 650R-31 invece? non lo supporta?
Il mi sa di proprio di no.
Mi dici questo in quanto per creare la VPN tra la SEDE1 e SEDE2 basterebbe
configurare i due router?
> Secondo me tutto il problema è dovuto al fatto che l'ip del pc VEGA
> sulla sede 3 è 192.168.3.1 e non può comunicare con l'ip 172.16.0.1
> senza un router di mezzo.
> I pc della sede 3 devono avere ip uguale alla subnet del gateway
> altrimenti non funziona, perchè è fuori subnet?
Leggi sopra, c'è una sottorete.
Lo schema che ti ho fatto della SEDE3 non è motlo preciso in quanto non lo
so in dettaglio come è fatta.
> Se ci fosse un router tra il router isdn 4 e il pc VEGA con wan
> 172.16.0.2 (per esempio) e lan 192.168.3.2 (per esempio) impostando
> una semplice route statica sul router isdn 4 route add 192.168.3.0
> mask 255.255.255.0 172.16.0.2 allora il ping raggiungerebbe il pc
> VEGA.
> C'è per caso nella sede 3 un'altro router adsl? con ip 192.168.3.X?
No non c'è, e anche se ci fosse non me lo farebbero usare.
Se ci fosse una ADSL nella sede3 salterei direttamente la SEDE2 e andrei
direttamente dal mio PC alla SEDE3
Magari!!
Con ISDN son costretto a viaggiare a 8k
> Che casino!!! in pratica serve una route su ogni apparato che fa
> routing sia in andata che in ritorno.
E gia'.
> Credo che un router può gestire la propria subnet e la subnet remota
> specificata nella policy vpn ma non puo avere un route che non con un
> gateway non compreso tra queste due subnet.
> Con tutti questi ip che non tornano rispetto allo schema non mi
> capisco vediamo se riesci a spiegarmi quelle cose che mi sono perso.
Spero di averti un po chiarito come funziona. In particolare gli IP che non
ti tornano.
Se hai qualche idea sul da farsi...
Intanto ti ri-ringrazio ;)
--
a.d.c.
Omero
> Omero wrote:
> >>> ------------------------------------------
> >>> Route #: 1
> >>> Route Name= route
> >>> Active= Yes
> >>> Destination IP Address= 192.168.3.0
> >>> IP Subnet Mask= 255.255.254.0
> >>> Gateway IP Address= 172.16.0.1
> >>> Metric= 1
> >>> Private= No
> >>> ------------------------------------------
> > Questa route è nello zixel 650R??
>
> No, è nel ROUTER3 100IH
Mi ero fissato che la macchina principale della sede 2 era lo zyxel
650R visto che fa da gateway e non capivo come facevano a far girare
verso la sede 2, probabilmente nel 650R ci sarà una route statica che
punta per 172.16.0.0 verso il router 3 che poi instrada tramite isdn.
> Premetto anche che tra la rete 1.83 (SEDE2) e 3.1 (SEDE3) ha sempre
> funzionato tutto bene.
> (E ancora funziona)
> Tutte le chiamate al server 3.1 vengono correttamente instradate e risposte.
Ok si è visto anche dal ping
>
> Se devi raggiungere la rete 192.168.3.0 devi passare per il 172.16.0.1
>
> Esiste anche questa regola nel router3
>
> --------------------------------
> Menu 4 - Internet Access Setup
>
> ISP's Name= remote
> Pri Phone #= 1234567890
> Sec Phone #= ********
> My Login= ********
> My Password= ********
> My WAN IP Addr= 172.16.0.2
>
> NAT= None
> Address Mapping Set= N/A
>
> Telco Options:
> Transfer Type= 64K
>
> Multilink= Off
> Idle Timeout= 120
> --------------------------------
>
> Che significa, che se devi raggiungere la rete 172.16.0.2 attivati e chiama
> il numero di telefono 1234567890
No questa regola fa una telefonata all'altro router e quando i due
router si connettono assegna alla wan del router 3 ip 172.16.0.2 in
pratica qui non credo che ci sia una vpn credo che sia un semplice
punto punto e router 3 e 4 fanno semplice routing.
> >> Ora il problema che mi rimane è pingare il server 192.168.3.1
Quindi dalla sede 2 tutto ok il problema è dalla sede 1.
> E' VEGA -SEDE2- 192.168.1.83
> Quando fa da Server OpenVPN e ha come client una rete 2.0
> Automaticamente in quella rete appare come 192.168.2.1
> La famosa direttiva che mi avevi detto tu di modificare:
>
> server 192.168.2.0 255.255.255.0
Cavoli è vero
> >> Ora dove potrebbe essere il problema?
>
> > Intanto già che arrivi tramite le due vpn fino al 172.16.0.1 mi sembra
> > buono. anche se non capisco come sia possibile con queste route, tu
> > arrivi con la vpn da 192.168.2.112 a 192.168.1.83 (e nel ping non vedo
> > questi ip)
>
> 192.168.1.83 = 192.168.2.1
Ok
> > Il dg834g supporta le vpn ipsec il 650R-31 invece? non lo supporta?
>
> Il mi sa di proprio di no.
> Mi dici questo in quanto per creare la VPN tra la SEDE1 e SEDE2 basterebbe
> configurare i due router?
Io ho diverse vpn tra dg834 to dg834 e/o verso client software.
> > Secondo me tutto il problema è dovuto al fatto che l'ip del pc VEGA
> > sulla sede 3 è 192.168.3.1 e non può comunicare con l'ip 172.16.0.1
> > senza un router di mezzo.
> > I pc della sede 3 devono avere ip uguale alla subnet del gateway
> > altrimenti non funziona, perchè è fuori subnet?
>
> Leggi sopra, c'è una sottorete.
> Lo schema che ti ho fatto della SEDE3 non è motlo preciso in quanto non lo
> so in dettaglio come è fatta.
Ok infatti probabilmente 172.16.0.1 è la wan del router 4 mentre la
lan sarà sicuramente su 192.168.3.X
> > Che casino!!! in pratica serve una route su ogni apparato che fa
> > routing sia in andata che in ritorno.
>
> E gia'.
>
> Spero di averti un po chiarito come funziona. In particolare gli IP che non
> ti tornano.
> Se hai qualche idea sul da farsi...
> Intanto ti ri-ringrazio ;)
Si un po meglio.
Ci penso su un attimo adesso sono un po incasinato.
Ciao
astro.del.cielo
> Ci penso su un attimo adesso sono un po incasinato.
Ok, tranq.
Una cosa mi viene in mente.
Se invece di una rete con 2.0 e una con 1.0 avessi messo le due reti con 1.0
e collegate in VPN in modalita' Bridged
Le cose si sarebbe di molto semplificate?
Certo pero' mi piacerebbe arrivarci anche in modalita' Routed come è ora.
--
a.d.c.
Cujo
> Ok, tranq.
> Una cosa mi viene in mente.
> Se invece di una rete con 2.0 e una con 1.0 avessi messo le due reti con 1.0
> e collegate in VPN in modalita' Bridged
IMHO hai fatto un po' di casino con le varie reti netmask, da quello che
ho capito.
Il consiglio è di sistemare perfettamente la situazione. ;)
> Le cose si sarebbe di molto semplificate?
Un po' le complichi ;)
> Certo pero' mi piacerebbe arrivarci anche in modalita' Routed come è ora.
Preferisco SEMPRE la modalità routed se posso usarla. Una ragione (ad
esempio) per usare il bridge potrebbe essere quella di dover far passare
traffico non "routabile" (ie: broadcasts, netbios, ipx/spx, ecc.).
ciao, f.
astro.del.cielo
Pero' ho seguito una strada diversa.
Ho installato ComTun Pro 4.6a (un programma che funziona da
NAT/Proxy/FIREWALL)
Mi NATTA i pacchetti della lan 1.X verso la lan 2.X
Sul router3 ho lasciato solo questa regola.
Route #: 1
Route Name= route
Active= Yes
Destination IP Address= 192.168.3.0
IP Subnet Mask= 255.255.255.0
Gateway IP Address= 172.16.0.1
Metric= 1
Private= No
--
a.d.c.
Omero
Ciao
Hai risolto poi?
Ciao
astro.del.cielo
>> Certo pero' mi piacerebbe arrivarci anche in modalita' Routed come è
>> ora.
> Hai risolto poi?
Si ho risolto :-)
astro.del.cielo wrote:
> *Finalmente* ho risolto.
> Pero' ho seguito una strada diversa.
> Ho installato ComTun Pro 4.6a (un programma che funziona da
> NAT/Proxy/FIREWALL)
> Mi NATTA i pacchetti della lan 1.X verso la lan 2.X
>
> Sul router3 ho lasciato solo questa regola.
>
> Route #: 1
> Route Name= route
> Active= Yes
> Destination IP Address= 192.168.3.0
> IP Subnet Mask= 255.255.255.0
> Gateway IP Address= 172.16.0.1
> Metric= 1
> Private= No
Ciao
--
a.d.c.