Rete VPN con openvpn

[maidasette]

Ho bisogno di interconnettere 2 reti con openvpn come se fosse una sola: rete A (server) + rete B (client). Il tutto funziona egregiamente ma con il PC posto nella rete B o vedo la rete A o vedo la rete B a seconda di come imposto network manager.
Ho creato un tunnel con un Rspberry posto in rete B, se digito ifconfig vedo che si scambia dati con il server, per cui il collegamento è attivo, a questo punto non so come rendere tutto questo trasparente. Probabilmente mi sto perdendo in un bicchiere d'acqua, ma non vedo la soluzione che probabilmente l'ho sotto mano. Ho googlato ma non ho trovato nulla di specifico.
Un grazie a tutti anticipato.

[dennyxx82]

secondo me devi configurare bene il firewall.
per prima cosa devi vedere se riesci a pingare da un lato e dall'altro.
naturalmente se A pinga su B e non viceversa allora vuol dire che il problema e sul firewall di A.
poi un'altra cosa le reti A e B hanno la stessa classe di indirizzi?
io ho una vpn con 4 lan, ognuna di esse ho dovuta configurarla con una classe di indirizzi diversi per non avere conflitti quindi:
192.168.0.x
192.168.1.x
192.168.2.x
192.168.3.x

[maidasette]

La sottorete è la stessa con tutti gli indirizzi fissi diversi (devo solo differenziare il range del DHCP, ma in pratica ha una funzione occasionale). Il firewall è configurato correttamente in quanto se setto network manager per la connessione VPN ho l'accesso totale alla rete remota. I ping al di fuori della rete su cui sono connesso non funzionano.

[pres961]

Banalmente mi viene da dire che il problema è proprio che la sottorete sia la stessa...
Nel server ovpn che network hai definito?
Riesci a postare la config del server VPN e anche l'output del risultado del comando ip route show sia da un PC sulla rete B, che da un server sulla rete A?
Se usi windows il comando è route print.

[maidasette]

Nel frattempo ho cercato in giro ed ho trovato varie guide che anche si contraddivano fra loro. In sostanza mi sembra che il problema sia nella configurazione del server che non è bridge. Cercherò di approfondire, poi riprendo la discussione.

[pres961]

Verifica se è abilitato l'IPv4 forwardind... E controlla anche le regole di iptables

[thece]

la prima cosa che va fatta in uno scenario del genere è disegnare uno schema della rete molto accurato, con gli host principali, la loro configurazione di rete e la loro tabella di routing ... e io non ne ho visto nemmeno un accenno. La soluzione viene dopo.

La soluzione che cerchi è contenuta (a grandi linee) nel mio link in firma.

[maidasette]

Grazie thece per il link alla tua guida all'installazione di openvpn, ne farò tesoro. Lo schema è quello di connettere due reti domestiche ambedue con PC e NAS di cui una nattata (fastweb) e l'altra con il server e DNS dinamico No-Ip e renderle ambedue accessibili da client openvpn esterni.

[dennyxx82]

naturalmente il server lo farà la rete non sotto nat giusto?


cmq in questa discussione secondo è stata realizzata la stessa cosa che vuoi fare tu

configurazionevnv

[thece]

Lo schema è quello di connettere due reti domestiche ambedue con PC e NAS di cui una nattata (fastweb) e l'altra con il server e DNS dinamico No-Ip e renderle ambedue accessibili da client openvpn esterni.

Questo non è uno schema. Questa è una descrizione.
Disegna lo schema della rete, il più accuratamente possibile. Ti assicuro che è tutt'altro che una perdita di tempo. La prova è che @dennyxx82 ti ha giusto fatto una domanda di ulteriore chiarimento

Lo schema della rete deve contenere:

- tutte le reti coinvolte
- (per ogni rete) il modem / router / gateway
- (per ogni rete) gli host principali
- (per ogni rete) l'host che farà da server o client per la rete VPN
- le classi di indirizzamento
- (per il modem / router / gateway / server VPN / client VPN) la tabella di routing

Il Web editor gratuito che ho usato per il mio link lo puoi trovare QUI

[maidasette]

Ho incasinato tutto, dovrò disinstallare openvpn e ricominciare da capo...

[pres961]

Come mai?
Spiegaci meglio magari ti si riesce ad aiutare...

[maidasette]

Ho fatto un pasticcio con gli utenti per non fare un clean-all, dovuto al fatto che volevo limitare l'accesso ai soli servizi samba. Comunque grazie della tua disponibilità, quando sistemo il tutto riprendo questo topic.

[maidasette]

Ho reinstallato Openvpn. Per il momento volevo accedere solo ai Nas e non a tutta la rete. Network manager de PC funziona alla grande, non lo stesso sul Raspberry Innanzitutto prima di connettermi trovo già presente in ifconfig un tun0 che non riesco ad eliminare definitivamente ma ad ogni accensione devo toglerlo digitando:

Codice: Seleziona tutto

ip link delete tun0

Quando avvio Openvpn compare questa scritta:

Codice: Seleziona tutto

Sat Dec 24 13:04:54 2016 OpenVPN 2.3.4 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jan 23 2016
Sat Dec 24 13:04:54 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.08
Enter Private Key Password: ***************
Sat Dec 24 13:04:55 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Dec 24 13:04:55 2016 Control Channel Authentication: tls-auth using INLINE static key file
Sat Dec 24 13:04:55 2016 UDPv4 link local: [undef]
Sat Dec 24 13:04:55 2016 UDPv4 link remote: [AF_INET]***.***.***.***:****
Sat Dec 24 13:04:58 2016 [Raspberry] Peer Connection Initiated with [AF_INET]***.***.***.***:****
Sat Dec 24 13:05:00 2016 TUN/TAP device tun0 opened
Sat Dec 24 13:05:00 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Dec 24 13:05:00 2016 /sbin/ip link set dev tun0 up mtu 1500
Sat Dec 24 13:05:00 2016 /sbin/ip addr add dev tun0 local 10.8.66.10 peer 10.8.66.9
RTNETLINK answers: File exists
Sat Dec 24 13:05:01 2016 ERROR: Linux route add command failed: external program exited with error status: 2
RTNETLINK answers: File exists
Sat Dec 24 13:05:01 2016 ERROR: Linux route add command failed: external program exited with error status: 2
Sat Dec 24 13:05:01 2016 Initialization Sequence Completed

Sul forum: https://ubuntuforums.org/showthread.php?t=992177 ho trovato un problema simile ma non ha risolto il mio.

Buone feste a tutti

[maidasette]

Ulteriore aggiornamento:
Se verifico lo stato mi da questo risultato

Codice: Seleziona tutto

service openvpn status
● openvpn.service - OpenVPN service
   Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
   Active: active (exited) since Wed 2016-12-28 07:49:19 GMT; 23h ago
 Main PID: 232 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/openvpn.service

Dec 28 07:49:19 minibian systemd[1]: Started OpenVPN service.

Lo stato di tun0 è il seguente:

Codice: Seleziona tutto

ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.66.6  P-t-P:10.8.66.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2348 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2236 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:793192 (774.6 KiB)  TX bytes:169579 (165.6 KiB)

Al comando curl mi restituisce l'IP rilasciato dal provider su cui è connessa la rete del server, ma se pingo i devices su quella rete non li vede ma vede solo quelli della rete del client. Non capisco, dove sbaglio?

[dennyxx82]

hai verificato il firewall

[maidasette]

Questo è il mio firewall:

Codice: Seleziona tutto

cat /etc/network/if-up.d/firewall
#!/bin/sh
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.66.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A FORWARD -o tun0 -j ACCEPT

[MariusMatutiae]

ma con il PC posto nella rete B o vedo la rete A o vedo la rete B a seconda di come imposto network manager.

Questo avviene perchè hai impostato la OpenVPN in configurazione routed invece che bridged. In configurazione routed, le due reti locali sono distinte, anche se apparentemente appartengono alla stessa rete. Il motivo è che il tunnel ha i suoi indirizzi IP distinti da quelli delle due LAN, e quindi hai bisogno di due gateways per connecttere le due LAN (ricordati: ogni volta che cambi rete, hai bisogno di un gateway). Quindi le due reti sono totalmente distinte.

Se invece metti su una OpenVPN in configurazione bridged, puoi fonderle come hai cercato di fare sopra, poichè non c'è un tunnel che separa le due LAN. Quindi quello che hai bisogno di fare è:

• 1) scegliere una sola rete per entrambe le due LAN, per esempio 192.168.73.0/24;
  
  2) impostare il DHCP in maniera che gli indirizzi dati dai due server (uno per ogni LAN) siano disgiunti: per esempio, il sever della LAN1 può dare indirizzi 192.168.73.0/25, mentre il server della LAN2 può dare indirizzi nel range 192.168.73.128/25. È bene avere due server, uno ciascuno per ciascuna rete, perchè altrimenti, in caso di guasto della connessione fra le due LAN, una metà si ritrova senza server DHCP;
  
  3) Impostare una OpenVPN bridged fra le due LAN;
  
  4) se, in una delle LAN, il terminale della OpenVPN non è il router, ma un pc qualunque, allora bisogna istruire il router a cercare di contattare l'altra LAN attraverso il terminale della VPN; per esempio, se il terminale è 192.168.73.11, allora sul router bisogna impostare la regola

  Codice: Seleziona tutto

  ip route add 192.168.73.128/25 via 192.168.73.11 
  

  5) Infine, bisogna bloccare il traffico DHCP fra le due reti, altrimenti finisce che i computer della LAN1 hanno un indirizzo dato dal server DHCP della rete LAN2. Questo è necessario perchè altrimenti il gateway non sa se cercare il pc 192.168.73.125 attraverso il terminale della rete OpenVPN 192.168.73.11 (vedi l'esempio di sopra) oppure nella sua rete LAN, e quindi la regola di istradamento (= routing) data sopra non funziona. Per farlo, devi utilizzare ebtables, non iptables, perchè stai cercando di bloccare del traffico che non è IP, e dunque niente iptables. Basta farlo su uno dei terminali, non necessariamente su entrambi:

  Codice: Seleziona tutto

  ebtables -A INPUT --in-interface tap+ --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
  ebtables -A INPUT --in-interface tap+ --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
  ebtables -A FORWARD --out-interface tap+ --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
  ebtables -A FORWARD --out-interface tap+ --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
  ebtables -A OUTPUT --out-interface tap+ --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
  ebtables -A OUTPUT --out-interface tap+ --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
  

Tutto qui.

[maidasette]

Grazie MariusMatutiae per la dritta, adesso sono fuori e mi va benissimo in configurazione tunnel, al mio rientro continuerò a smanettare. Alla luce dei fatti pensavo di creare un router che mi mettesse in condivisione solo i NAS, una specie di Samba esteso, penso che farò buon uso dei tuoi consigli.

[MariusMatutiae]

Connettere solo i NAS è ben più semplice che connettere le due LAN completamente. In effetti, basta la configurazione routed che già hai.

Tutto quello che devi dare è aggiungere una regola di routing alla LAN nella quale il terminale OpenVPN non è il gateway: vai sul gateway e digli che può raggiungere la LAN2 contattando il terminale locale della OpenVPN. Per esempio, se le due LAN sono 192.168.1.0/24 e 192.168.2.0/24 (bada, le due LAN devono essere distinte, altrimenti i pc non sanno se una dato indirizzo appartiene alla LAN1 o alla LAN2), e il terminale openvpn è 192.168.1.11, dai sul gateway il comando

Codice: Seleziona tutto

ip route add 192.168.2.0/24 via 192.168.1.11

La maggior parte dei router/gateway moderni consente di aggiungere regole di istradamento come sopra.

Hai finito. Ricordati però che le due reti non appartengono al medesimo broadcast domain, e dunque tutti is ervizi che funzionano con il broadcast non rivelano l'altra rte. Dunque, niente Samba, PlexMediaServer, e cposì via. Inoltre, nienete DNS: devi chiamare tutti i pc con il loro indirizzo IP, non con il loro nome, perchè non c'è un DNS comune, e i servizi Samba/Bonjour... funzionano solo entro un broadcast domain. Se vuoi, puoi aiutarti defininendo l'indirizzo del NAS nell'altra rete aggiungendo la riga

Codice: Seleziona tutto

192.168.1.72 IlNomeDelMioPrimoNas

in /etc/hosts, ovunque puoi.

Come vedi, una OpenVPN routed è più facile da installare ma meno completa di una bridged. Non ci si può far nulla, tocca a te scegliere cosa preferisci. Io scelgo l'una o l'altra a seconda delle necessità.