Gateway oltre una VPN [risolto]

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

Si ti confermo che ha un pannello web.

Ho provato ad accede allo stesso da GW2:

Codice: Seleziona tutto

root@vpnsinigo:~# nc -v 192.168.2.2 80
192.168.2.2: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.2.2] 80 (http) open
e funziona.

Ho lanciato su GW2 come mi hai detto:

Codice: Seleziona tutto

tcpdump -n -i eth1 host 192.168.2.2 and tcp
Ho provato da GW1:

Codice: Seleziona tutto

root@vpnhome:~# nc -v 192.168.2.2 80
192.168.2.2: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.2.2] 80 (http) open
e funziona, il tcpdump di GW2 ha loggato:

Codice: Seleziona tutto

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
13:33:44.134455 IP 192.168.2.1.45870 > 192.168.2.2.80: Flags [S], seq 2635307098, win 64240, options [mss 1460,sackOK,TS val 1430717855 ecr 0,nop,wscale 7], length 0
13:33:44.135041 IP 192.168.2.2.80 > 192.168.2.1.45870: Flags [S.], seq 1912858978, ack 2635307099, win 5792, options [mss 1460,sackOK,TS val 155571366 ecr 1430717855,nop,wscale 1], length 0
13:33:44.177964 IP 192.168.2.1.45870 > 192.168.2.2.80: Flags [.], ack 1, win 502, options [nop,nop,TS val 1430717898 ecr 155571366], length 0
13:33:45.217956 IP 192.168.2.1.45870 > 192.168.2.2.80: Flags [F.], seq 1, ack 1, win 502, options [nop,nop,TS val 1430718939 ecr 155571366], length 0
13:33:45.218389 IP 192.168.2.2.80 > 192.168.2.1.45870: Flags [F.], seq 1, ack 2, win 2896, options [nop,nop,TS val 155571637 ecr 1430718939], length 0
13:33:45.260142 IP 192.168.2.1.45870 > 192.168.2.2.80: Flags [.], ack 2, win 502, options [nop,nop,TS val 1430718981 ecr 155571637], length 0
Ho provato da PC1:

Codice: Seleziona tutto

nc -v 192.168.2.2 80
senza alcun output e tcpdump del GW2 non ha loggato nulla
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

Uhm ... siamo sulla strada sbagliata ... passo indietro ...

Riconfigurazione

1) sull'host PC1 lascia il default gateway su 192.168.0.11

Codice: Seleziona tutto

ifconfig
route -n
2) sull'host GW1 cancella la regola (cancella solo la seguente regola) per IPTables (che IMHO non mi convince)

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2

Codice: Seleziona tutto

ifconfig
route -n
iptables-save
3) sull'host GW2

Codice: Seleziona tutto

ifconfig
route -n
iptables-save
Test #1

4) sull'host GW1

Codice: Seleziona tutto

tcpdump -n -i eth1 host 192.168.2.2 and port 80
5) sull'host GW2

Codice: Seleziona tutto

tcpdump -n -i eth1 host 192.168.2.2 and port 80
6) sull'host PC1

Codice: Seleziona tutto

nc -v 192.168.2.2 80
mi aspetto che funzioni. Se funziona non riportare gli ouput di netcat/tcpdump

Test #2

4) sull'host GW1

Codice: Seleziona tutto

tcpdump -n -i eth0 host 91.189.93.8 and port 80     (Aggiunto)

Codice: Seleziona tutto

tcpdump -n -i eth1 host 91.189.93.8 and port 80
5) sull'host GW2

Codice: Seleziona tutto

tcpdump -n -i eth1 host 91.189.93.8 and port 80
6) sull'host PC1

Codice: Seleziona tutto

nc -v 91.189.93.8 80
mi aspetto che funzioni ma che non passi per la VPN

Codice: Seleziona tutto

traceroute 91.189.93.8

Mi spiace per la quantità industriale ti output che ti faccio produrre ma non avendo ne ochhi ne mani sulla tua rete non ho altro modo
Ultima modifica di thece il mercoledì 27 gennaio 2021, 15:07, modificato 2 volte in totale.
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

scusami al punto 2 intendi che devo cancellare la regola

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2
oppure cancellarle tutte e inserire solo quella?
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar ha scritto:
mercoledì 27 gennaio 2021, 14:32
scusami al punto 2 intendi che devo cancellare la regola

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2
oppure cancellarle tutte e inserire solo quella?
che devi cancellare solo quella regola.

Hai letto cosa ti ho scritto nel post dopo?
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

si ho visto finisco il test poi gli do un'occhiata senno' perdo il filo e mi incasino
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

Ok allora
1.
PC1:

Codice: Seleziona tutto

root@toshiba:~# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        ether 70:54:d2:5b:1e:c6  txqueuelen 1000  (Ethernet)
        RX packets 68  bytes 8007 (7.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 40  bytes 6677 (6.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@toshiba:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.11    0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
2. cancellate tutte le regole nat e riserita

Codice: Seleziona tutto

/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE

Codice: Seleziona tutto

iptables-save
# Generated by iptables-save v1.8.5 on Wed Jan 27 14:30:48 2021
*nat
:PREROUTING ACCEPT [3:144]
:INPUT ACCEPT [3:144]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE
COMMIT
3. host GW2

Codice: Seleziona tutto

root@vpnsinigo:~# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.4  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::230:18ff:fe03:c652  prefixlen 64  scopeid 0x20<link>
        ether 00:30:18:03:c6:52  txqueuelen 1000  (Ethernet)
        RX packets 11920  bytes 926331 (904.6 KiB)
        RX errors 0  dropped 1  overruns 0  frame 0
        TX packets 2632  bytes 332312 (324.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.1  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::230:18ff:fe03:c653  prefixlen 64  scopeid 0x20<link>
        ether 00:30:18:03:c6:53  txqueuelen 1000  (Ethernet)
        RX packets 3030  bytes 275404 (268.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 101  bytes 13328 (13.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 3  bytes 271 (271.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3  bytes 271 (271.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@vpnsinigo:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
root@vpnsinigo:~# iptables-save
# Generated by iptables-save v1.8.5 on Wed Jan 27 14:41:12 2021
*nat
:PREROUTING ACCEPT [1455:214520]
:INPUT ACCEPT [1318:186880]
:OUTPUT ACCEPT [35:2899]
:POSTROUTING ACCEPT [35:2899]
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j MASQUERADE
COMMIT
4. su GW1 eseguito

Codice: Seleziona tutto

tcpdump -n -i eth1 host 192.168.2.2 and port 80
5. su GW2 eseguito

Codice: Seleziona tutto

tcpdump -n -i eth1 host 192.168.2.2 and port 80
6. eseguito su PC1

Codice: Seleziona tutto

nc -v 192.168.2.2 80
root@toshiba:~# nc -v 192.168.2.2 80
192.168.2.2: inverse host lookup failed: Host name lookup failure
(UNKNOWN) [192.168.2.2] 80 (http) open

ha funzionato

TEST 2:
4. su GW1 eseguito

Codice: Seleziona tutto

tcpdump -n -i eth1 host 91.189.93.8 and port 80
5. su GW2 eseguito

Codice: Seleziona tutto

tcpdump -n -i eth1 host 91.189.93.8 and port 80
6. su PC1 eseguito

Codice: Seleziona tutto

nc -v 91.189.93.8 80
RISULTATO (nc e' rimasto fermo su PC1):
su GW1:

Codice: Seleziona tutto

root@vpnhome:~# tcpdump -n -i eth1 host 91.189.93.8 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:46:09.418686 IP 192.168.1.2.45330 > 91.189.93.8.80: Flags [S], seq 982960665, win 29200, options [mss 1460,sackOK,TS val 1175507286 ecr 0,nop,wscale 7], length 0
14:46:10.429161 IP 192.168.1.2.45330 > 91.189.93.8.80: Flags [S], seq 982960665, win 29200, options [mss 1460,sackOK,TS val 1175508296 ecr 0,nop,wscale 7], length 0
14:46:12.477134 IP 192.168.1.2.45330 > 91.189.93.8.80: Flags [S], seq 982960665, win 29200, options [mss 1460,sackOK,TS val 1175510344 ecr 0,nop,wscale 7], length 0
14:46:16.509061 IP 192.168.1.2.45330 > 91.189.93.8.80: Flags [S], seq 982960665, win 29200, options [mss 1460,sackOK,TS val 1175514376 ecr 0,nop,wscale 7], length 0
14:46:24.956925 IP 192.168.1.2.45330 > 91.189.93.8.80: Flags [S], seq 982960665, win 29200, options [mss 1460,sackOK,TS val 1175522824 ecr 0,nop,wscale 7], length 0
su GW2:

Codice: Seleziona tutto

root@vpnsinigo:~# tcpdump -n -i eth1 host 91.189.93.8 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
nessun output

su PC1 eseguito:

Codice: Seleziona tutto

traceroute 9.189.93.8
traceroute to 9.189.93.8 (9.189.93.8), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.205 ms  0.190 ms  0.172 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
....
spero di aver fatto tutto giusto
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar ha scritto:
mercoledì 27 gennaio 2021, 14:49
spero di aver fatto tutto giusto
Si. OK più o meno è quello che mi aspettavo.

A seguito di

Codice: Seleziona tutto

nc -v 91.189.93.8 80
su GW2

Codice: Seleziona tutto

tcpdump -n -i eth1 host 91.189.93.8 and port 80
non trova nulla perchè la connessione non transita per la VPN.
Mi sarei aspettato che però la connessione riuscisse. Occorrerebbe effettuare sull'host GW1 anche

Codice: Seleziona tutto

tcpdump -n -i eth0 host 192.168.2.2 and port 80
per controllare che la connessione venga forwardata
Ultima modifica di thece il mercoledì 27 gennaio 2021, 15:05, modificato 1 volta in totale.
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

si e' evidente che GW1 non instrada attraverso la VPN il traffico fuori dalla rete locale

ho provato su GW1 come hai detto

Codice: Seleziona tutto

root@vpnhome:~# tcpdump -n -i eth0 host 192.168.2.2 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
e su PC1

Codice: Seleziona tutto

nc -v 91.189.93.8 80
ma tcpdump su GW1 non ha dato nessun log

ho corretto tcpdump sul GW1 con l'interfaccia eth1 (192.168.1.1) dove e' collegato PC1
ma non e' cambiato nulla...
nessun log alla richiesta di nc su PC1
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

Ragionando a mente fredda quanto fatto fino a questo punto è stato completamente inutile, vedi mio EDIT nel post #10

La strada più promettente è modificare il default gateway sull'host PC1 (192.168.1.2) in questo modo

Codice: Seleziona tutto

(In funzione dello stato della tabella di routing, forse è necessario uno dei due seguenti comandi)
route del default gw 192.168.1.1 dev eth0
route del default gw 192.168.1.11 dev eth0

route add -host 192.168.2.2 dev eth0
route add default gw 192.168.2.2 dev eth0
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

ora su PC1 ho questo:

Codice: Seleziona tutto

root@toshiba:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.2     0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.2.2     0.0.0.0         255.255.255.255 UH    0      0        0 eth0
quindi

Codice: Seleziona tutto

root@toshiba:~# nc 91.189.93.8 80
(UNKNOWN) [91.189.93.8] 80 (http) : No route to host
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

Non so che dirti, prova ad usare tcpdump per tracciare la connessione sia su GW1 che GW2

Codice: Seleziona tutto

tcpdump -n -i eth1 host 91.189.93.8 and port 80
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

lanciato tcpdump su PC1 ed eseguito sempre su PC nc 91.189.93.8 80

Codice: Seleziona tutto

11:24:35.989253 ARP, Request who-has 192.168.2.2 tell 192.168.1.2, length 28
11:24:36.994224 ARP, Request who-has 192.168.2.2 tell 192.168.1.2, length 28
11:24:38.018217 ARP, Request who-has 192.168.2.2 tell 192.168.1.2, length 28
11:24:39.042278 ARP, Request who-has 192.168.2.2 tell 192.168.1.2, length 28
11:24:40.066218 ARP, Request who-has 192.168.2.2 tell 192.168.1.2, length 28
11:24:41.090218 ARP, Request who-has 192.168.2.2 tell 192.168.1.2, length 28
PC1 con quelle 2 regole di routing non contatta GW1
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN [risolto]

Messaggio da thece »

:ciao:

come hai fatto a risolvere?
Avatar utente
trekfan1
Moderatore Globale
Moderatore Globale
Messaggi: 23380
Iscrizione: domenica 21 maggio 2006, 10:51
Desktop: Gnome
Distribuzione: Ubuntu 23.10 e 24.04 (dev)
Sesso: Maschile
Località: Formigine (MO) | Accecante Asceta

Re: Gateway oltre una VPN [risolto]

Messaggio da trekfan1 »

Il [Risolto] vuole ad inizio titolo e non alla fine, correggi, grazie
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 5 ospiti