1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.ITALIAN

  • connessione alla lan con in mezzo una vpn

    From Marco Gaiarin@21:1/5 to All on Thu Jul 15 23:50:02 2021
    Mandi! Leandro Noferini
    In chel di` si favelave...


    La speigazione di Paolo è perfetta; ma

    Questa è la configurazione di openvpn che mi ha dato il provider:
    [...]
    pull

    Io credo che il problema sia questo; con 'pull' tu ti prendi tutto quello
    che il server ti dice, compreso suppongo del routing farlocco.


    Puoi mandare dei log di connessione? Puoi vedere se il fornitore ha una pagina/faq/... con delle info più dettagliate?

    --
    È come se Mendeleev quando ha scoperto gli elementi, il giorno che ha
    scoperto l'ossigeno avesse detto: "benissimo, ho scoperto l'ossigeno, chi
    respira mi paga una royalty"... chi respira paga, pensa a Genova che
    casino, morivano tutti in apnea. (Beppe Grillo)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Leandro Noferini@21:1/5 to Marco Gaiarin on Sun Jul 18 09:10:01 2021
    Marco Gaiarin <gaio@lilliput.linux.it> writes:

    La speigazione di Paolo è perfetta; ma

    Questa è la configurazione di openvpn che mi ha dato il
    provider:
    [...]
    pull

    Io credo che il problema sia questo; con 'pull' tu ti prendi
    tutto quello
    che il server ti dice, compreso suppongo del routing farlocco.


    Puoi mandare dei log di connessione?

    Allego.

    Puoi vedere se il fornitore ha una pagina/faq/... con delle info
    più dettagliate?

    Quello ho paura di no perché sto usando un provider che definirlo
    "scarno" è un eufemismo!

    :-)

    ====================vpn.log==========================================
    OpenVPN 2.4.7 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO]
    [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Apr 28 2021
    library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10
    TCP/UDP: Preserving recently used remote address:
    [AF_INET]91.19.55.235:443
    Socket Buffers: R=[131072->131072] S=[16384->16384]
    Attempting to establish TCP connection with
    [AF_INET]91.19.55.235:443 [nonblock]
    TCP connection established with [AF_INET]91.19.55.235:443
    TCP_CLIENT link local: (not bound)
    TCP_CLIENT link remote: [AF_INET]91.19.55.235:443
    TLS: Initial packet from [AF_INET]91.19.55.235:443, sid=e8271fcc
    f5cbaea7
    WARNING: this configuration may cache passwords in memory -- use
    the auth-nocache option to prevent this
    VERIFY OK: depth=1, C=CZ, ST=Ustecky Kraj, L=Usti nad Labem,
    O=FineVPN.com, OU=IT, CN=FineVPN.com CA,
    emailAddress=info@finevpn.com
    VERIFY KU OK
    Validating certificate extended key usage
    ++ Certificate has EKU (str) TLS Web Server Authentication,
    expects TLS Web Server Authentication
    VERIFY EKU OK
    VERIFY X509NAME OK: C=CZ, ST=Ustecky Kraj, L=Usti nad Labem,
    O=FineVPN.com, OU=IT, CN=eu3.finevpn.com,
    emailAddress=info@finevpn.com
    VERIFY OK: depth=0, C=CZ, ST=Ustecky Kraj, L=Usti nad Labem,
    O=FineVPN.com, OU=IT, CN=eu3.finevpn.com,
    emailAddress=info@finevpn.com
    Control Channel: TLSv1.2, cipher TLSv1.2
    DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
    [eu3.finevpn.com] Peer Connection Initiated with
    [AF_INET]91.19.55.235:443
    SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1)
    SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1)
    SENT CONTROL [eu3.finevpn.com]: 'PUSH_REQUEST' (status=1)
    PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,topology subnet,route-gateway 91.19.51.1,ifconfig 91.19.51.42 255.255.255.0'
    OPTIONS IMPORT: --ifconfig/up options modified
    OPTIONS IMPORT: route-related options modified
    OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256
    bit key
    Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
    Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256
    bit key
    Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
    ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth0
    HWADDR=dc:a6:32:cb:d2:d5
    TUN/TAP device tun0 opened
    TUN/TAP TX queue length set to 100
    /sbin/ip link set dev tun0 up mtu 1500
    /sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255
    /sbin/ip route add 91.19.55.235/32 via 192.168.1.1
    /sbin/ip route add 0.0.0.0/1 via 91.19.51.1
    /sbin/ip route add 128.0.0.0/1 via 91.19.51.1
    Initialization Sequence Completed ====================vpn.log==========================================

    --
    ciao
    leandro

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Leandro Noferini@21:1/5 to Paolo Miotto on Sun Jul 18 09:20:01 2021
    On gio, lug 15, 2021 at 09:29:30 +0200, Paolo Miotto wrote:

    Nella tua configurazione tutto il traffico viene dirottato nella vpn; spesso si fa così per garantire che il client, se compromesso, possa fare da ponte verso la rete protetta dalla vpn.

    Tu vorresti fare uno split tunnel, quindi devi eliminare l'opzione

    redirect-gateway

    dalla tua configurazione.


    Devi poi verificare che route ti vengono inviate ed eventualmente rifiutarle e gestirle a mano.

    Purtroppo di routing c'ho sempre capito meno del giusto e quindi avrei necessità
    di un aiuto più preciso.

    Nel log leggo queste righe:

    /sbin/ip link set dev tun0 up mtu 1500
    /sbin/ip addr add dev tun0 91.19.51.42/24 broadcast 91.19.51.255
    /sbin/ip route add 91.19.55.235/32 via 192.168.1.1
    /sbin/ip route add 0.0.0.0/1 via 91.19.51.1
    /sbin/ip route add 128.0.0.0/1 via 91.19.51.1

    Devo fare qualcosa qui?

    --
    Ciao
    leandro

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Leandro Noferini@21:1/5 to Paolo Miotto on Thu Jul 22 16:40:02 2021
    Paolo Miotto <paolo.miotto@uniud.it> writes:

    Il 18/07/21 09:03, Leandro Noferini ha scritto:
    /sbin/ip link set dev tun0 up mtu 1500
    /sbin/ip addr add dev tun0 91.19.51.42/24 broadcast
    91.19.51.255
    /sbin/ip route add 91.19.55.235/32 via 192.168.1.1
    /sbin/ip route add 0.0.0.0/1 via 91.19.51.1
    /sbin/ip route add 128.0.0.0/1 via 91.19.51.1


    Se hai già commentato la linea "redirect-gateway" nel tuo file
    di configurazione
    e ancora non funziona puoi provare ad inserire la linea

    Ho provato a togliere quella riga ma poi (evidentemente?) non
    riesco a
    raggiungere i servizi che ci sono su quell'IP da remoto.

    Quindi, riassumendo, io dovrei riuscire a raggiungere la rete
    locale da
    quel computer ma devo riuscire a lasciare la default route sulla
    vpn.

    Spero di essere riuscito a spiegarmi.

    pull-filter ignore "route add 0.0.0.0"

    [...]

    https://serverfault.com/questions/819339/openvpn-client-override-default-gateway-for-vpn-sever

    --
    Ciao
    leandro

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Leandro Noferini@21:1/5 to Paolo Miotto on Mon Jul 26 20:00:01 2021
    Paolo Miotto <paolo.miotto@uniud.it> writes:

    Ho ripensato un attimo alla tua situazione; tu non vuoi fare
    l'uso classico

    [...]

    con un proxy con ip statico.

    Io ho necessità di una vpn per poter avere un IP statico da una
    connessione casalinga per non aver problemi con i servizi che non
    vogliono IP residenziali (fondamentalmente l'email ma anche roba
    come
    XMPP).

    L'idea del proxy esterno non mi piace gran che perché in ogni caso
    avrei
    una parte fondamentale della mia rete al di fuori del mio
    controllo,
    cosa che snaturerebbe la mia idea.

    --
    ciao
    leandro

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Bodrato@21:1/5 to All on Tue Jul 27 10:00:01 2021
    Il 2021-07-27 07:49 Paolo Miotto ha scritto:
    Il 26/07/21 19:58, Leandro Noferini ha scritto:

    L'idea del proxy esterno non mi piace gran che perché in ogni caso
    avrei
    una parte fondamentale della mia rete al di fuori del mio controllo,

    Posso capire questa tua obiezione, ma non capisco come il fatto di
    avere una vpn fornita da terzi ti consenta un maggiore controllo sulla
    tua rete.

    Personalmente concordo con Leandro, la VPN può essere vista
    semplicemente come il cavo che ti connette al resto della rete, no?
    Permette magari di figurare altrove rispetto a dove si è, ma non
    impedisce di avere il pieno controllo di ciò che quel cavo collega al
    resto del mondo.

    Äœis,
    m

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Leandro Noferini@21:1/5 to Paolo Miotto on Wed Jul 28 19:00:02 2021
    Paolo Miotto <paolo.miotto@uniud.it> writes:

    Il 26/07/21 19:58, Leandro Noferini ha scritto:
    Io ho necessità di una vpn per poter avere un IP statico da una
    connessione casalinga per non aver problemi con i servizi che
    non
    vogliono IP residenziali (fondamentalmente l'email ma anche
    roba come
    XMPP).

    Purtroppo è vero, ci sono servizi che penalizzano gli ip
    assegnati agli utenti
    residenziali.

    Un serverino in cloud non è pensabile?

    È quella cosa della mia "idea" che non lo rende una soluzione
    perseguibile.

    L'idea del proxy esterno non mi piace gran che perché in ogni
    caso avrei
    una parte fondamentale della mia rete al di fuori del mio
    controllo,
    cosa che snaturerebbe la mia idea.


    Posso capire questa tua obiezione, ma non capisco come il fatto
    di avere una vpn
    fornita da terzi ti consenta un maggiore controllo sulla tua
    rete.

    Come dice Marco, io percepisco la vpn solo come un "cavo" che mi
    collega
    al resto di internet, servizio che non servirebbe se il mio
    provider
    fornisse l'ip statico.

    --
    ciao
    leandro

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)