[bglug] Aiuto per VPN

Diego Pagnoncelli horo86@gmail.com
Ven 4 Apr 2008 09:03:34 CEST


On Thu, Apr 3, 2008 at 11:54 PM, <dario.anzani@cheapnet.it> wrote:
>
> Quoting Diego Pagnoncelli <horo86@gmail.com>:
>
>
> > sul router provo a collegarmi... qui le cose sono iniziate ad andare male.
> > La connessione non avviene!!!
>
> wait. port natting su udp o su tcp? nel secondo caso, che significa la
> connessione non avviene? hai tracciato con wireshark? dove si ferma?
> se sei su tcp, il 3way handshake viene completato con successo? si?
> no? la lista di dettagli da dare e' lunga... :-)

Per il momento sul router ho aperto sia su UDP che TCP la porta 5002.
L'analisi con wireshark non l'ho ancora fatta ma provvederò

> > Allora dopo vari tentativi e impostazioni sul router(un Netgear DG834GT) mi
> > rivolgo a S.Google... e qui scopro una cosa allarmante...
>
> > sembrerebbe che
> > questo router che ho sempre reputato ottimo(dopo che ne ho provati 3)
> > supporti solo la VPN con protocollo(o forse è meglio dire protocolli)
> > IPSec...
>
> Dal punto di vista della rete, openvpn non e' in alcun modo diverso da una
> connessione ssh (se su tcp) o da una connessione ad un server quake
> (se su udp).
> Tutto rigorosamente a livello 4. Percio' e' un po' come dire... La mia
> automobile può essere guidata con le scarpe da tennis o devo comprare i
> mocassini?

Non sai quanto mi faccia piacere sapere questa cosa... quindi a rigor
di logica non dovrei avere problemi... eppure non sono l'unico ad
avere problemi con questo router. Per esempio ho letto che alcuni
hanno risolto usando IPSec e utilizzando il client che fornisce la
Netgear(a pagamento).

Al momento se non erro stavo tentando su UDP... proverò quindi su TCP.

Cmq se openvpn è assimilabile al traffico ssh non dovrei avere
problemi visto che ssh lo uso da anni e non mi ha mai dato problemi,
l'unica cosa che ho fatto per ssh è fare il forwarding della 22 sul
server.

> Per farla breve, il fatto che non ci sia scritto a chiare lettere
> sulla scatola
> che sia supportato il "vpn passthrough" per openvpn, non significa nulla.
> possiamo chiamarlo "vpn passthrough" o "port natting", ma se il meccanismo lo
> applichi al PPTP, ad esempio, le due cose coincidono.

Vedi sopra, cmq non mi spiego a questo punto perchè specificano la
possibilità di usare massimo 2 passthrough IPSec contemporaneamente...
lavora forse in modo differente a openvpn?

Cmq se io configuro il router per redirigere una certa porta su un
dato pc della sottorete o peggio ancora metto addirittura il server in
DMZ... a lui che frega di cosa passa? teoricamente dovrebbe prendere
dalla WAN e rigirare sul server in DMZ o sulla porta indicata...
sbaglio?

> > Qui mi rivolgo a voi... è possibile che supportando solo IPSec(solo IPSec è
> > menzionato nelle specifiche) il router non lasci passare il traffico
> > openvpn? perchè dovrebbe avere di questi problemi?
>
> Il problema è di come hai configurato il port natting. configura openvpn su
> tcp. ti aiuterà nel debuggare la tua configurazione errata del router.
> Verifica che sull'ip internet del router la porta scelta per openvpn sia in
> LISTEN, dall'esterno, con netcat per esempio. traccia il
> traffico sul tuo server, e vedi se qualcosa arriva a quella porta.
> Se netcat dall'esterno non ti da' il succeeded, allora riprova a configurare
> il router finche' non ci riesci. Che ne so, per esempio configura ssh
> per andare in listen sulla porta di openvpn, e vedi se riesci a fare ssh
> su quella porta da fuori.

Come dicevo prima SSH funziona senza problemi sulla sua porta... cmq
farò questa prova con netcat per vedere se la porta è in LISTEN

> Fai il repeat until di tutto questo fino a quando non arrivi al succeeded.
>
> quando non funziona qualcosa, il 99.99% delle volte la colpa è nostra.
> e questo vale per tutti (me incluso).
>
> Ciao
> Dario.
>

Grazie per l'aiuto!


Maggiori informazioni sulla lista bglug