Gateway oltre una VPN [risolto]

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Gateway oltre una VPN [risolto]

Messaggio da bertocar »

Salve a tutti,

per questioni di sicurezza ho necessita' di permettere ad un pc di navigare attraverso una VPN.
Il layout e' questo:
[
network-layout.jpg
il [PC1] pinga correttamente il GW al di la' della VPN indirizzo 192.168.2.2.

Mi hanno suggerito di creare un secondo indirizzo sul [GW1] che funga da "canale" vs 192.168.2.2.

Quindi ho creato con

Codice: Seleziona tutto

ifconfig eth0:1 192.168.1.11
l'indirizzo secondario .11 e messo come gateway per il [PC1] (il ping verso 192.168.2.2 continua a funzionare correttamente).
Poi ho aggiunto le seguenti regole per instradare il suo traffico

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2
iptables -t nat -A POSTROUTING -s 192.168.2.2/32 -d 192.168.1.2/32 -j SNAT --to-source 192.168.1.11
il problema e' che [PC1] non naviga.

Sapete aiutarmi?

** RISOLTO: SOLUZIONE PER CHI DOVESSE INTERESSARE **
- creato un tunnel tra GW1 e GW2
- eliminato eth0:1 su GW1
- ho modificato su GW1 la rete 192.168.1.0/32 in 192.168.3.0/32 per evitare overlap
- PC1 ora ha 192.168.3.2 gw 192.168.3.1
modificata la conf di GW1 in:

Codice: Seleziona tutto

 /usr/sbin/ip tunnel add tun0 mode gre local 192.168.3.1 remote 192.168.2.1 ttl 255
 /sbin/ifconfig tun0 mtu 1400
 /sbin/ifconfig tun0 192.168.4.1 netmask 255.255.255.0 up
 /usr/sbin/ip rule add from 192.168.3.2/255.255.255.255 table 4
 /usr/sbin/ip route add default via 192.168.4.2 dev tun0 table 4
modificata la conf di GW2 in:

Codice: Seleziona tutto

 /usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.3.2/32 -j SNAT --to 192.168.2.1 --persistent
 /usr/sbin/iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300
 /usr/sbin/ip tunnel add tun0 mode gre local 192.168.2.1 remote 192.168.3.1 ttl 255
 /sbin/ifconfig tun0 mtu 1400
 /sbin/ifconfig tun0 192.168.4.2 netmask 255.255.255.0 up
 /usr/sbin/ip rule add from 192.168.3.2/255.255.255.255 table 4
 /usr/sbin/ip route add default via 192.168.2.2 table 4
 /usr/sbin/ip route add 192.168.3.2 via 192.168.4.1 dev tun0 table 4
 /usr/sbin/ip route add 192.168.3.2 via 192.168.4.1
ora funziona perfettamente
Grazie a chi mi ha dato una mano
Ultima modifica di bertocar il giovedì 18 febbraio 2021, 14:45, modificato 3 volte in totale.
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

Al di là di trovare la soluzione, sinceramente non riesco a capire lo scopo di ciò che hai fatto.
bertocar ha scritto:
lunedì 25 gennaio 2021, 17:37
...
Mi hanno suggerito di creare un secondo indirizzo sul [GW1] che funga da "canale" vs 192.168.2.2.
...
Magari chi ti ha suggerito tutto ciò, oltre a dartene la spiegazione, può aiutarti nella soluzione.
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

Si mi sono rivolto a chi mi ha dato quella risposta ma purtroppo non mi risponde piu' ....
Penso la sua idea fosse quella di "simulare" un gateway nella rete locale del PC in modo da trasferirne tutto il traffico al gateway remoto.
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar ha scritto:
martedì 26 gennaio 2021, 11:24
Penso la sua idea fosse quella di "simulare" un gateway nella rete locale del PC in modo da trasferirne tutto il traffico al gateway remoto.
OK, forse ho capito l'idea del "gateway simulato". In pratica tutto i traffico in uscita dal PC1 e non diretto alla LAN 192.168.1.0/24 lo si vorrebbe inoltrare al gateway sulla rete 4G (192.168.2.2).
Le regole per IPTables te le ha suggerite chi ti ha proposto questa idea oppure le hai scritte/costruite tu?

Ammetto di non essere preparatissimo ma ... siamo sul GW1, prendiamo la prima regola

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2
mi arriva un pacchetto dal PC1 diretto a me, quindi:

- IP SRC: 192.168.1.2
- IP DST: 192.168.1.11

perchè mai dovrei cambiargli l' IP DST in 192.168.2.2 ?

Mi arriva un pacchetto dal PC1 diretto al Forum di Ubuntu, quindi:

- IP SRC: 192.168.1.2
- IP DST: 91.189.93.8

non matcha con nessuna delle due regole precedenti, quindi non viene alterato in alcun modo.
Dovrebbe uscire in Internet attraverso il GW1 e (mi aspetto) funzionare, non nel modo da te desiderato, ma funzionare. Tu dici che non funziona, corretto?

Sul GW1 hai abilitato il forwarding dei pacchetti IP?
Test:

Codice: Seleziona tutto

cat /proc/sys/net/ipv4/ip_forward
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

Grazie per il supporto.

Le regole me le ha suggerite il tipo sparito...

ti confermo che ip_forward e' a 1

non sono molto esperto di reti ma penso che quando il PC cerca di raggiungere un ip fuori dalla propria lan manda la richiesta al gw (motivo per cui la regola ridireziona al "vero" gw la richiesta, 192.168.2.2).
Secondo me il casino avviene quando il pacchetto deve tornare indietro.

Cmq sia il PC non riesce a navigare, ho provato anche a pingare un mio host con ip pubblico che solitamente uso ma nulla.
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar ha scritto:
martedì 26 gennaio 2021, 12:54
... penso che quando il PC cerca di raggiungere un ip fuori dalla propria lan manda la richiesta al gw (motivo per cui la regola ridireziona al "vero" gw la richiesta, 192.168.2.2).
NI.
Quando il PC1 manda un pacchetto IP fuori dalla propria LAN inoltra (attraverso un frame Ethernet) il pacchetto al gateway configurato.

Tabella di routing su PC1

Codice: Seleziona tutto

sudo route -n
In questo pacchetto non c'è scritto da nessuna parte ne 192.168.1.11 ne 192.168.2.2 (verificalo con wireshark/tcpdump).

bertocar ha scritto:
martedì 26 gennaio 2021, 12:54
Secondo me il casino avviene quando il pacchetto deve tornare indietro.
Potrebbe essere. Infatti occorrerebbe avere maggiori dettagli sulla tabella di routing sul GW1, sul GW2 e sul GW 4G
Di tutti questi host, tu su quali puoi mettere mano?

bertocar ha scritto:
martedì 26 gennaio 2021, 12:54
Cmq sia il PC non riesce a navigare, ho provato anche a pingare un mio host con ip pubblico che solitamente uso ma nulla.
Questo non mi torna.
In prima battuta io cancellerei le due regole di IPTables sopra e verificherei la raggiungibilità degli host dal PC1, sia sulla LAN, sia sulla VPN, sia in Internet (usando ping, traceroute, wireshark, tcpdump, ... quello che ti pare)
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

Ho accesso completo a tutta l'infrastruttura via ssh.
Il GW 4G e' un router con una SIM

PC1: route -n

Codice: Seleziona tutto

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
Dal PC1 posso pingare:
192.168.2.1
192.168.2.2 (router 4G)

Allego uno schema completo con le configurazioni in modo da avere il quadro generale.
GW1

Codice: Seleziona tutto

eth0: 192.168.0.4
eth1: 192.168.1.1

route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

ipsec status
Security Associations (1 up, 0 connecting):
sinigo-to-home[2]: ESTABLISHED 15 minutes ago, 192.168.0.4[xxxxxxxxx]...A.A.A.A[A.A.A.A]
sinigo-to-home{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c13e487b_i c751899b_o
sinigo-to-home{1}:   192.168.1.0/24 === 192.168.2.0/24

iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE

in rc.local esegue:
/usr/bin/echo 1 >/proc/sys/net/ipv4/ip_forward
/usr/bin/echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects 
/usr/bin/echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects 
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE

GW2

Codice: Seleziona tutto

eth0: 192.168.1.4
eth1: 192.168.2.1

route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

ipsec status
Security Associations (1 up, 0 connecting):
sinigo-to-home[18]: ESTABLISHED 18 minutes ago, 192.168.1.4[A.A.A.A]...B.B.B.B[aaaaa]
sinigo-to-home{17}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c751899b_i c13e487b_o
sinigo-to-home{17}:   192.168.2.0/24 === 192.168.1.0/24

iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j MASQUERADE

in rc.local esegue:
/usr/bin/echo 1 >/proc/sys/net/ipv4/ip_forward
/usr/bin/echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects 
/usr/bin/echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects 
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j MASQUERADE

Allegati
network-layout2.jpg
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

Per mia chiarezza mentale ho ridisegnato lo schema di rete sulla base delle informazioni che hai postato.

Non ho ben chiaro come "funzioni internamente" la VPN IPsec - ho una limitata esperienza solo di OpenVPN - quindi di come i pacchetti IP arrivino dalla subnet 192.168.1.0/24 (in basso a sinistra) alla subnet 192.168.2.0/24 (in basso a destra) e viceversa.
Mi sarei aspettato di trovare sugli host "GW1" e "GW2" delle interfacce di rete virtuali utilizzate per la gestione del tunnel VPN (nel mio schema, la linea tratteggiata rossa).
Cerco di spiegarmi con un esempio: prendiamo un banale ping fatto dall'host "PC1" verso l'host "Router 4G"

Il pacchetto IP avrà:
- IP SRC: 192.168.1.2
- IP DST: 192.168.2.2

Dalla tabella di routing sull'host "PC1"

Codice: Seleziona tutto

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
il pacchetto IP viene inoltrato dall'host "PC1" all'host "GW1"

Dalla tabella di routing sull'host "GW1"

Codice: Seleziona tutto

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
(se non ci sono altre regole di IPTables configurate) il pacchetto IP viene inoltrato dall'host "GW1" all'host "???" (192.168.0.1) ... ehm ... un momento, non dovrebbe essere così. Dovrebbe esserci un incapsulamento nella VPN per far riaffiorare il pacchetto sull'host "GW2".

Domanda "banale": sui due GW la regola di IPTables per il masquerading l'hai decisa tu oppure è imposta dalla VPN IPsec (cioè: qui si fa così...)? Spero di essermi spiegato.

Sto tentando di simularmi mentalmente il tragitto dei pacchetti IP ... spero di non farti perdere del tempo.

Ho notato che la subnet 192.168.1.0/24 è usata due volte.

Mi posti la tabella di routing dell'host "Router 4G" ? E per curiosità anche un traceroute dall'host "PC1" all'host "Router 4G"?
Allegati
www.draw.io-network.png
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

Ti ringrazio moltissimo per il tempo che stai dedicando, ci mancherebbe ti scusassi ;-)

questo e' il traceroute dal PC1 a 192.168.2.2

Codice: Seleziona tutto

traceroute to 192.168.2.2 (192.168.2.2), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.188 ms  0.176 ms  0.167 ms
 2  192.168.2.1 (192.168.2.1)  41.870 ms  42.289 ms  42.293 ms
 3  192.168.2.2 (192.168.2.2)  42.287 ms  42.936 ms  42.946 ms
le 2 regole NAT le ho dovute mettere, seguendo una guida per IPsec, altrimenti il PC1 non era in grado di raggiungere nemmeno GW2
te le riporto:

Codice: Seleziona tutto

GW1: iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE
GW2: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.2.0/24 -j MASQUERADE
Il router 4G e' un dispositivo HW quindi non ho alcun accesso.

Se devo effettuare altre verifiche fammi sapere magari indicandomi i comandi precisi di cui vuoi l'output cosi' ci capiamo meglio.
Al limite posso anche darti accesso ssh ai GW1/GW2 se sei curioso (in LAN non ci sono macchine/dati sensibili), ma in pvt ovviamente

grazie ancora
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

Lo schema che ho fatto è corretto?
Prima di provare a suggerirti qualcosa per arrivare ad una soluzione, sto tentando di capire come lavora la tua rete.

bertocar ha scritto:
mercoledì 27 gennaio 2021, 11:09
le 2 regole NAT le ho dovute mettere, seguendo una guida per IPsec ...
Hai un link alla guida?

bertocar ha scritto:
mercoledì 27 gennaio 2021, 11:09
Il router 4G e' un dispositivo HW quindi non ho alcun accesso.
Il router 4G fa da gateway per quale subnet? 192.168.2.0/24 ?


(Data la mia scarsa preparazione) Per avvicinarmi alla soluzione intanto io procederei così:

1) sull'host "PC1" modifichi il default gateway in 192.168.1.11

Codice: Seleziona tutto

ifconfig
route -n
2) sull'host "GW1" abiliti l'interfaccia di rete virtuale eth1:1 configutara sull'indirizzo IP 192.168.1.11

3) sull'host "GW1" abiliti la regola di IPTables

Codice: Seleziona tutto

iptables -t nat -A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2
[EDIT]

Commento a freddo
Le prove fatte da qui in poi sono completamente inutili.
Per l'obiettivo che vogliamo raggiungere, la precedente regola di IPTables è assolutamente inutile in quanto, se trova corrispondenza, non fa altro che alterare il pacchetto IP modificando l'indirizzo di destinazione da 192.168.1.11 a 192.168.2.2


[/EDIT]

Codice: Seleziona tutto

ifconfig
route -n
iptables-save
4) sull'host "GW2" accendi tcpdump sull'interfaccia di rete eth1

Codice: Seleziona tutto

tcpdump -n -i eth1 host 192.168.2.2 and icmp
5) dall'host "PC1" fai un ping

Codice: Seleziona tutto

ping -c 4 192.168.2.2
e vediamo cosa rileva tcpdump
Ultima modifica di thece il giovedì 28 gennaio 2021, 9:54, modificato 1 volta in totale.
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

link della guida:
https://blog.ruanbekker.com/blog/2018/0 ... ntication/

il router 4G fa da gateway della 192.168.2.0/24

1. ho modificato il gateway del PC1 in 192.168.1.11

Codice: Seleziona tutto

ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        ether 70:54:d2:5b:1e:c6  txqueuelen 1000  (Ethernet)
        RX packets 782  bytes 61213 (59.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 637  bytes 165339 (161.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 24  bytes 2016 (1.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 24  bytes 2016 (1.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.11    0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
2. creata l'interfaccia virtuale eth1:1 192.168.1.11
3. abilitata la regola iptables

Codice: Seleziona tutto

ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.4  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::8639:beff:fe6d:d17e  prefixlen 64  scopeid 0x20<link>
        ether 84:39:be:6d:d1:7e  txqueuelen 1000  (Ethernet)
        RX packets 16006  bytes 1277161 (1.2 MiB)
        RX errors 0  dropped 28  overruns 0  frame 0
        TX packets 3764  bytes 463857 (452.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.1  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::8639:beff:fe6d:d17f  prefixlen 64  scopeid 0x20<link>
        ether 84:39:be:6d:d1:7f  txqueuelen 1000  (Ethernet)
        RX packets 678  bytes 171047 (167.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 861  bytes 68103 (66.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.11  netmask 255.255.255.0  broadcast 192.168.1.255
        ether 84:39:be:6d:d1:7f  txqueuelen 1000  (Ethernet)

lo:....

route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

iptables-save
# Generated by iptables-save v1.8.5 on Wed Jan 27 12:06:22 2021
*nat
:PREROUTING ACCEPT [32:2265]
:INPUT ACCEPT [31:2233]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.1.2/32 -d 192.168.1.11/32 -j DNAT --to-destination 192.168.2.2
-A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MASQUERADE
COMMIT

4. attivato su GW1 tcpdump
5. dal PC1 eseguito ping -c 4 192.168.2.2 questo l'output di tcpdump:

Codice: Seleziona tutto

root@vpnsinigo:~# tcpdump -n -i eth1 host 192.168.2.2 and icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
12:09:58.386266 IP 192.168.2.1 > 192.168.2.2: ICMP echo request, id 1116, seq 1, length 64
12:09:58.386685 IP 192.168.2.2 > 192.168.2.1: ICMP echo reply, id 1116, seq 1, length 64
12:09:59.388670 IP 192.168.2.1 > 192.168.2.2: ICMP echo request, id 1116, seq 2, length 64
12:09:59.389180 IP 192.168.2.2 > 192.168.2.1: ICMP echo reply, id 1116, seq 2, length 64
12:10:00.389142 IP 192.168.2.1 > 192.168.2.2: ICMP echo request, id 1116, seq 3, length 64
12:10:00.389503 IP 192.168.2.2 > 192.168.2.1: ICMP echo reply, id 1116, seq 3, length 64
12:10:01.390049 IP 192.168.2.1 > 192.168.2.2: ICMP echo request, id 1116, seq 4, length 64
12:10:01.390414 IP 192.168.2.2 > 192.168.2.1: ICMP echo reply, id 1116, seq 4, length 64
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

Ti avevo scritto di attivare tcpdump sull'host "GW2" comunque ... dall'output di tcpdump direi che il ping ha funzionato, corretto ? Non hai postato l'output del ping sull'host "PC1"
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

tcpdump e' del GW2
l'host denominato "vpnsinigo" e' il GW2

output di ping di PC1:

Codice: Seleziona tutto

root@toshiba:~# ping -c 4 192.168.2.2
PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.
64 bytes from 192.168.2.2: icmp_seq=1 ttl=62 time=42.6 ms
64 bytes from 192.168.2.2: icmp_seq=2 ttl=62 time=43.1 ms
64 bytes from 192.168.2.2: icmp_seq=3 ttl=62 time=42.1 ms
64 bytes from 192.168.2.2: icmp_seq=4 ttl=62 time=41.8 ms
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar ha scritto:
mercoledì 27 gennaio 2021, 12:10
...
4. attivato su GW1 tcpdump
...
bertocar ha scritto:
mercoledì 27 gennaio 2021, 12:22
tcpdump e' del GW2
l'host denominato "vpnsinigo" e' il GW2

OK, lanciamoci, andiamo di netcat e simuliamo il browser Web

(Senza DNS)

Codice: Seleziona tutto

nc -v 91.189.93.8 80
(Con DNS)

Codice: Seleziona tutto

nc -v forum.ubuntu-it.org 80
Per interrompere la connessione con netcat usa la combinazione di tasti [CTRL]+[c]
Se dentro la simulazione (funzionante?) di netcat vuoi provare a richiedere una pagina

Codice: Seleziona tutto

GET / HTTP/1.0
la richiesta è "sbagliata" ma il Web Server risponderà

Sull'host "GW2" tcpdump lo puoi interrompere.
Se vuoi continuare ad usarlo per monitorare il traffico devi cambiare il filtro, tipo

Codice: Seleziona tutto

tcpdump -n -i eth1 host 91.189.93.8
tcpdump -n -i eth1 host 91.189.93.8 and tcp
Ultima modifica di thece il mercoledì 27 gennaio 2021, 12:36, modificato 1 volta in totale.
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

immagino andassero lanciati dal PC1:
(/etc/resolv.conf e' correttamente configurato)

Codice: Seleziona tutto

root@toshiba:~# nc -v 91.189.93.8 80
91.189.93.8: inverse host lookup failed: Host name lookup failure
(UNKNOWN) [91.189.93.8] 80 (http) : Connection timed out

Codice: Seleziona tutto

root@toshiba:~# nc -v forum.ubuntu-it.org 80
forum.ubuntu-it.org: forward host lookup failed: Host name lookup failure : Resource temporarily unavailable
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar ha scritto:
mercoledì 27 gennaio 2021, 12:35
immagino andassero lanciati dal PC1:
Si, scusa.

La connessione con netcat non sta funzionando. Uhm ...

tcpdump che dice?

Un traceroute dall'host "PC1"

Codice: Seleziona tutto

traceroute 91.189.93.8
Se la simulazione con netcat la fai dall'host "GW2" o altro host sulla subnet 192.168.2.0/24 funziona?

Beh spero di averti dato qualche dritta per il debug.
Occorre capire per il ping funziona e la simulazione con netcat no.
Non risponde il "Router 4G" oppure i pacchetti IP non tornano indietro come dovrebbero?
Ultima modifica di thece il mercoledì 27 gennaio 2021, 12:59, modificato 1 volta in totale.
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

Penso che non ci sia da nessuna parte indicato che il gateway per PC1 debba essere Router 4G
E' vero che PC1 ha come GW 192.168.1.11 ma
se da PC1 do traceroute 91.189.93.8 ottengo

Codice: Seleziona tutto

root@toshiba:~# traceroute 91.189.93.8
traceroute to 91.189.93.8 (91.189.93.8), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.199 ms  0.198 ms  0.192 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
se su GW2 lancio tcpdump -n -i eth1 e su PC1 pingo 192.168.2.2 ottengo

Codice: Seleziona tutto

root@vpnsinigo:~# tcpdump -n -i eth1                 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
12:57:14.301907 IP6 fe80::76da:88ff:feb1:cb50 > ff02::1: ICMP6, router advertisement, length 32
12:57:15.611786 IP6 fe80::76da:88ff:feb1:b76c > ff02::1: ICMP6, router advertisement, length 32
12:57:16.493091 IP 192.168.2.1 > 192.168.2.2: ICMP echo request, id 1240, seq 1, length 64
12:57:16.496085 ARP, Request who-has 192.168.2.1 tell 192.168.2.2, length 46
12:57:16.496136 ARP, Reply 192.168.2.1 is-at 00:30:18:03:c6:53, length 28
12:57:16.496306 IP 192.168.2.2 > 192.168.2.1: ICMP echo reply, id 1240, seq 1, length 64
ma se su PC1 pingo 91.189.93.8 o altro ip tcpdump di GW2 non logga nulla
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

thece ha scritto:
mercoledì 27 gennaio 2021, 12:38
Se la simulazione con netcat la fai dall'host "GW2" o altro host sulla subnet 192.168.2.0/24 funziona?
bertocar
Prode Principiante
Messaggi: 17
Iscrizione: lunedì 25 gennaio 2021, 17:29
Distribuzione: ubuntu
Sesso: Maschile

Re: Gateway oltre una VPN

Messaggio da bertocar »

GW2:

Codice: Seleziona tutto

root@vpnsinigo:~# nc -v 91.189.93.8 80
magog.canonical.com [91.189.93.8] 80 (http) open

Codice: Seleziona tutto

root@vpnsinigo:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
la navigazione di GW2 funziona perche' esce tramite il GW 192.168.1.1.
I PC della rete 192.168.2.0/24 navigano correttamente tramite il Router 4G
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Gateway oltre una VPN

Messaggio da thece »

bertocar ha scritto:
mercoledì 27 gennaio 2021, 13:10
la navigazione di GW2 funziona perche' esce tramite il GW 192.168.1.1.
Si infatti, poi ti ho chiesto (... ho modificato il post aggiungendo ...) degli altri host sulla subnet 192.168.2.0/24
bertocar ha scritto:
mercoledì 27 gennaio 2021, 13:10
I PC della rete 192.168.2.0/24 navigano correttamente tramite il Router 4G


Facciamo un piccolo passo indietro.

Immagino (confermamelo) che il "router 4G" abbia un Pannello di Controllo Web (quindi un Web Server).
In tal caso dall'host "PC1" netcat proviamo ad usarlo contro il "Router 4G"

- sull'host "PC1"

Codice: Seleziona tutto

netcat -v 192.168.2.2 80
- sull'host "GW2"

Codice: Seleziona tutto

tcpdump -n -i eth1 host 192.168.2.2 and port 80
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 7 ospiti