Italiano

Ciao a tutti, volevo chiedere consiglio e aiuto per quanto riguarda la configurazione di un tunnel ipsec in m0n0.
Allego l'immagine di come è configurata la rete. Lo scopo è di collegarmi tramite un portatile con internet effettuata tramite un semplice modem (no router) alla LAN dell'azienda, in modo da essere "visto" come un pc della LAN e poter effettuare tutte le operazioni che posso fare quando sono in azienda.
Ho guardato le pagine di m0n0 relative alla VPN ma non mi sono chiari i parametri da settare, inoltre quali porte e protocolli devo aprire/forwardare sul router del provider?
Grazie

ciao Mirko..

tu stai chiedendo come connetterti alla lan aziendale da un portatile, ho capito bene?

il diagramma è quello della lan aziendale? se si, perchè non usi una vpn pptp dal client? o hai limitazioni?

il server pptp può essere m0n0 oppure il tuo server (che se non erro è S..)

se non ho capito spiegami meglio :-)

S.

Ciao Stefano, lo scopo è quello di avere la possibilità che il portatile connesso ad internet attraverso una semplice "chiavetta internet" quindi senza nessun aggeggio tra il portatile e l'ip pubblico assegnato dal provider, possa collegarsi alla mia lan aziendale, ottenendo quindi un ip del tipo 192.168.77.x e poter avere accesso a tutte le risorse a cui io accedo da un pc fisicamente appartenente alla stessa lan.
Come ho scritto nel forum inglese, mi si diceva che un problema poteva essere il router del provider interposto tra l'ip pubblico m0n0, ma ho scoperto navigando in rete, che posso bypassarlo semplicemente impostando nella wan di m0n0 i parametri ppoe e come user/password aliceadsl/aliceadsl (ed ora si sa quale è il provider incriminato :-)) in quanto tale router (anche se sbloccato per avere pieno accesso alla configurazione) non consente il vpn passthrough. Con tale settaggio tutto funziona come prima (in pratica e come se si facesse un ppoe passthroguh). Il problema è che leggendo il manuale di m0n0 c'è scritto:
"This chapter will go over configuring a site to site Virtual Private Network (VPN) links between two m0n0walls"
Quindi non capivo se ciò che voglio fare io è impossibile attraverso VPN IPSec di m0n0 perchè uno dei miei endpoint non è m0n0 oppure se si può fare lo stesso.
Per rispondere alla tua domanda....si ho pensato anche al pptp di m0n0 ma leggendo in giro mi sembrava di capire che per cose non sporadiche la vpn è meglio. Per quanto riguarda lo schema, m0n0 natta il traffico entrante su alcune porte su freenas e centos posti in DMZ, mentre ovviamente da wan e dmz è piallato tutto il traffico verso la lan dove c'è SME.
Lo scopo era quello di amministrare lo SME in lan da remoto. Mi rendo conto che potrei abilitare il remote managment in SME però non saprei che ip abilitare per il management in quanto la chiavetta internet ogni volta mi dà ip diverso e non volevo ricorrere a servizi tipo dyndns per abilitare un hostname e aggiornare dinamicamente il mio ip.
Aspetto novità
Grazie

Ciao Stefano, lo scopo è quello di avere la possibilità che il portatile connesso ad internet attraverso una semplice "chiavetta internet" quindi senza nessun aggeggio tra il portatile e l'ip pubblico assegnato dal provider, possa collegarsi alla mia lan aziendale, ottenendo quindi un ip del tipo 192.168.77.x e poter avere accesso a tutte le risorse a cui io accedo da un pc fisicamente appartenente alla stessa lan.

il che, tecnicamente, è definito VPN :-)

Come ho scritto nel forum inglese, mi si diceva che un problema poteva essere il router del provider interposto tra l'ip pubblico m0n0, ma ho scoperto navigando in rete, che posso bypassarlo semplicemente impostando nella wan di m0n0 i parametri ppoe e come user/password aliceadsl/aliceadsl (ed ora si sa quale è il provider incriminato :-)) in quanto tale router (anche se sbloccato per avere pieno accesso alla configurazione) non consente il vpn passthrough. Con tale settaggio tutto funziona come prima (in pratica e come se si facesse un ppoe passthroguh). Il problema è che leggendo il manuale di m0n0 c'è scritto:
"This chapter will go over configuring a site to site Virtual Private Network (VPN) links between two m0n0walls"
Quindi non capivo se ciò che voglio fare io è impossibile attraverso VPN IPSec di m0n0 perchè uno dei miei endpoint non è m0n0 oppure se si può fare lo stesso.

allora.. io ho sempre usato m0n0 dietro ad un router 8ergo m0n0 con indirizzo wan "privato") e non ho mai avuto alcun problema di VPN..

comunque sia, ipsec è una brutta bestia, ed è poco maneggevole per chi è un "road warrior" come te con un portatile

Per rispondere alla tua domanda....si ho pensato anche al pptp di m0n0 ma leggendo in giro mi sembrava di capire che per cose non sporadiche la vpn è meglio. Per quanto riguarda lo schema, m0n0 natta il traffico entrante su alcune porte su freenas e centos posti in DMZ, mentre ovviamente da wan e dmz è piallato tutto il traffico verso la lan dove c'è SME.
Lo scopo era quello di amministrare lo SME in lan da remoto. Mi rendo conto che potrei abilitare il remote managment in SME però non saprei che ip abilitare per il management in quanto la chiavetta internet ogni volta mi dà ip diverso e non volevo ricorrere a servizi tipo dyndns per abilitare un hostname e aggiornare dinamicamente il mio ip.
Aspetto novità
Grazie

allora.. se lo scopo di tutto è semplicemente maneggiare SME da fuori, basta ed avanza aprire ssh e poi usare un tunnel entro il quale usare https..

se invece vuoi anche poter accedere ai file, direi che pptp va benissimo, ed in questo caso la conf che ti consiglio è di far fare a m0n0 da server con auth via radius su SME..

tutto questo se e solo se:
- il bypass del modem permette il protocollo GRE
- la chiavetta permette il GRE (per es. vodafone, fino a qualche tempo fa non lo permetteva)

S.

Dunque...il tunnel ssh mi piace, però non mi è chiara una cosa:
io ho una porta non la 22 ovviamente aperta che mono natta in dmz su freenas.
potrei aprire una seconda porta diversa dalla precendente e mettere ssh dello sme in lan in ascolto su tale porta.
Basta poi semplicemente usare ad esempio la funzione tunnel di putty per instradare il traffico sulla 443 nel tunnel ssh ed avere accesso al server manager di SME in lan?

La chiavetta internet è della TIM (Huawei) e non ho la più pallida idea se permetta o meno il GRE.
Da quello che ho letto in rete utilizzando quella sorta di ppoe passthrough di cui parlavo prima il router della Telecom lascia passare tutto.

Cmq mi sa che alla fine è più che sufficiente il tunnel ssh, tanto per navigare tra i files dello sme in lan posso usare winscp sulla stessa porta di ssh e dovrei essere a posto.

Dunque...il tunnel ssh mi piace, però non mi è chiara una cosa:
io ho una porta non la 22 ovviamente aperta che mono natta in dmz su freenas.
potrei aprire una seconda porta diversa dalla precendente e mettere ssh dello sme in lan in ascolto su tale porta.
Basta poi semplicemente usare ad esempio la funzione tunnel di putty per instradare il traffico sulla 443 nel tunnel ssh ed avere accesso al server manager di SME in lan?

si, certo

La chiavetta internet è della TIM (Huawei) e non ho la più pallida idea se permetta o meno il GRE.
Da quello che ho letto in rete utilizzando quella sorta di ppoe passthrough di cui parlavo prima il router della Telecom lascia passare tutto.

una prova la puoi fare velocemente, comunque da quel che so si, telecom fa passare GRE

Cmq mi sa che alla fine è più che sufficiente il tunnel ssh, tanto per navigare tra i files dello sme in lan posso usare winscp sulla stessa porta di ssh e dovrei essere a posto.

esatto.. :-)

Concludo il post ricordando come qualcuno mi dice sempre ed io non faccio mai, prima della soluzione esponi il problema.
Grazie

Scusate ragazzi io sono nuovo nel mondo di mono e sono un po' di giorni che ci sto sbattendo la testa, la cosa che voglio fare è riuscere a collegarmi a con la chiavetta della 3 alla mia rete aziendale attraverso la vpn con mono.
su mono ho due schede di rete
wan 87.xxx.xx.xx
lan 10.254.254.x
ho provato a configurare VPN: IPsec: Mobile clients
ma non ce niente da fare
dove cavolo è che sbaglio
grazieeeee

Ciao, dunque cerco di capire. Dal 87.xxx.xxx.xxx sembrerebbe che anche tu fai parte del mondo alice business o sbaglio? Quando dici m0n0 wan ha 87.xxx.xxxx intendi che m0n0 è collegato al router telecom il quale ha ip pubblico "finto" statico 87.xxx.xxx.xxx oppure m0n0 prende direttamente l'indirizzo del provider?

Scusate ragazzi io sono nuovo nel mondo di mono e sono un po' di giorni che ci sto sbattendo la testa, la cosa che voglio fare è riuscere a collegarmi a con la chiavetta della 3 alla mia rete aziendale attraverso la vpn con mono.

se accetti un consiglio spassionato, usa le vpn pptp con il client di windows e vivi felice

Ciao
Stefano

scusami se ti rispondo solo adesso ma in questi giorni stavo provando pfsense,
cmq si monowall è collegato al router e come indirizzo gli ho dato 87.....
ma il router non è di alice

scusami se ti rispondo solo adesso ma in questi giorni stavo provando pfsense,
cmq si monowall è collegato al router e come indirizzo gli ho dato 87.....
ma il router non è di alice

per cortesia, puoi illustare la struttura di rete? dici di aver assegnato un ip pubblico alla wan di m0n0.. quanti ip pubblici hai?

insomma, un quadro completo della cosa..

ribadisco comunque il consiglio di usare le vpn pptp, hai _MOLTO_meno sbattimento

Stefano

allora ti spigo bene
l'indirizzo ip pubblico è 87.xxx.xxx.xxx
l'indirizzo della mia lan è 10.254.xxx.xxx
il server monowall sta nella lan
quindi io voglio collegarmi da casa con il portatile e la chiavetta della 3
ma voglio capire bene la configurazione di pptp
grazieeeee

allora ti spigo bene
l'indirizzo ip pubblico è 87.xxx.xxx.xxx

ok

l'indirizzo della mia lan è 10.254.xxx.xxx
il server monowall sta nella lan

allora.. prima di tutto m0n0wall non è un server, è un firewall, e deve stare TRA la tua rete e il router..

da quel che capisco hai un solo ip pubblico, quindi il router ha, internamente, un indirizzo privato.. che ip ha?

quindi io voglio collegarmi da casa con il portatile e la chiavetta della 3
ma voglio capire bene la configurazione di pptp
grazieeeee

una volta che hai chiarito i dubbi, la conf. è banale:
- configuri il router per premettere il traffico pptp
- crei su m0n0 un utente con la sua password
- sul pc ti connetti con la chiavetta
- sul pc, solo la prima volta, configuri una connessione vpn mettendo come ip/indirizzo del server remoto il tuo ip pubblico (se è statico, altrimenti devi usare un servizio tipo dyndns), utente e password messa su m0n0 e via, fatta..

ti invito comunque a leggere la documentazione di m0n0 e quella di windows per chiarirti i dubbi

Ciao

allora l'interfaccia wan l'ho configurata cosi
type pptp
pptp configuration
utente xxxx
passwd xxxx
local ip 87.241.xxx.xxx che sarebbe l'ip statico
remote ip 10.254.254.xxx che è l' indirizzo della lan
per la configurazione vpn:pptp:
configuration
enable pptp
server adress 87.241.xx.xxx
remote adress 10.254.254.xxx


firewall rules pptp vpn
action pass
interface pptp
protocol tcp

dove pensi che abbia sbagliato??
grazie