openvpn, connessione stabilita, ping NAS non funziona

[cornetto]

Salve ragazzi,

ho un problema con il collegamento vpn al mio 239 Pro II. La connessione VPN viene stabilita, ma il ping sul NAS 192.168.17.200 non funziona.

Vi allego anche la configurazione del server e del client.

configurazione server openvpn NAS

Codice: Seleziona tutto

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "route 192.168.17.0 255.255.255.0"
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/server.key
comp-lzo
keepalive 15 120
verb 3
mute 30
log /opt/etc/openvpn/log/openvpn.log
daemon
management localhost 7505

Configurazione client windows 7

Codice: Seleziona tutto

proto udp
dev tun
tls-client
remote prova.ath.cx 1194
pull
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\abc.crt"
key "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\abc.key"
comp-lzo
verb 3

Dove sta l'errore?

[cornetto]

Avrei veramente bisogno di impostare il collegamento vpn verso casa mia. Qualche anima pia può aiutarmi. Vi servono altre informazioni per circoscrivere il problema?

[thece]

Ciao,
dovrebbe essere un problema di routing sulla macchina Linux che ti fa da server OpenVPN.
Il tuo NAS (192.168.17.200) è configurato sulla rete 192.168.17.0 così come probabilmente la scheda di rete ethernet fisica (eth0 suppongo) sempre della macchina server Linux. Ma la connessione VPN dal client arriva sulla scheda di rete tun0 virtuale, che avrà indirizzo 10.8.0.1 ... a meno che tu non abbia configurato opportunamente IPTables sul tuo server Linux, le due reti 192.168.17.0 e 10.8.0.0 non si parlano

Devi abilitare il NAT/FORWARDING fra le due reti. Dai un'occhiata a questo thread su un altro Forum, parlavo di qualcosa di simile

Potrei aver sparato delle castronerie ... per sicurezza avrei bisogno dei segunti output sulla tua macchina Linux (server)

Codice: Seleziona tutto

sudo ifconfig -a

Codice: Seleziona tutto

sudo route -n

Codice: Seleziona tutto

sudo iptables -v -L

Ciao

[cornetto]

Un po tecnico il thread che mi hai linkato...sono abbastanza newbie su linux. Ora ti posto gli output dei commandi che mi hai chiesto

Codice: Seleziona tutto

bond0     Link encap:Ethernet  HWaddr 00:08:9B:BF:4B:E6
          inet addr:192.168.17.200  Bcast:192.168.17.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MASTER MULTICAST  MTU:1500  Metric:1
          RX packets:349310 errors:0 dropped:0 overruns:0 frame:0
          TX packets:547332 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:30640299 (29.2 MiB)  TX bytes:719656917 (686.3 MiB)

eth0      Link encap:Ethernet  HWaddr 00:08:9B:BF:4B:E6
          UP BROADCAST SLAVE MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Memory:febe0000-fec00000

eth1      Link encap:Ethernet  HWaddr 00:08:9B:BF:4B:E6
          UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metric:1
          RX packets:349310 errors:0 dropped:0 overruns:0 frame:0
          TX packets:547332 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:30640299 (29.2 MiB)  TX bytes:719656917 (686.3 MiB)
          Memory:feae0000-feb00000

ipddp0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          BROADCAST NOARP MULTICAST  MTU:585  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:83362 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83362 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7096890 (6.7 MiB)  TX bytes:7096890 (6.7 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Codice: Seleziona tutto

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
255.255.255.255 0.0.0.0         255.255.255.255 UH    0      0        0 bond0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.17.200  0.0.0.0         255.255.255.255 UH    0      0        0 bond0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.17.0    0.0.0.0         255.255.255.0   U     0      0        0 bond0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.17.1    0.0.0.0         UG    1      0        0 bond0

Iptables mit dice command not found.

OT
Come si fa a ad user chown con user che contengono un punto?

Codice: Seleziona tutto

chown -R mio.nome *

mi da unknown group name: nome
Fine OT

[thece]

Ciao, purtroppo l'argomento è tecnico!

Allora, nel file di configurazione del server OpenVPN commenta (con ;) la riga

Codice: Seleziona tutto

push "route 192.168.17.0 255.255.255.0"

quindi riavvia il server OpenVPN con

Codice: Seleziona tutto

sudo /etc/init.d/openvpn restart

Poi dai i comandi (o con sudo o come utente root):

Codice: Seleziona tutto

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

sudo iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

Nel file di configurazione del client aggiungi la riga

Codice: Seleziona tutto

route 192.168.17.0 255.255.255.0

A questo punto dal client avvia la connessione VPN e dovresti riuscire a pingare tutta la rete 192.168.17.0

La configurazione di IPTables è volatile: se la soluzione che ti ho proposto funziona ti dico come renderla permanente ... oppure cerca tu su Google

PS: mi sembra impossibile che il comando

Codice: Seleziona tutto

sudo iptables -v -L

non funzioni. Hai scritto bene?

[thece]

[OT]
Esiste un comando bellissimo che si chiama man, nel tuo caso

Codice: Seleziona tutto

man chown

comunque

Codice: Seleziona tutto

chown -R NOME_UTENTE:NOME_GRUPPO FILE

hai scritto sbagliato il comando

PS: non ho mai visto nomi utente con il punto in mezzo, ma se te lo ha fatto creare ...

[/OT]

[cornetto]

- Quote integrale non necessario rimosso da Mod. -

Beh io ho scelto i miei user proprio in questo modo nome.cognome
man chown immagino sia la guida di chown...comunque non mi funziona da putty.
Come seguita a non funzionarmi il comando chown. Ho letto in giro che il commando chown prevede sia il . che il : per separare il gruppo. Insomma interpreta il mio cognome come gruppo...che ovviamente non esiste.

[cornetto]

- Quote integrale non necessario rimosso da Mod. -

@thece
Putroppo confermo che il commando iptables non viene riconosciuto. E in init.d non ho nessun servizio openvpn. E dire che ho seguito la guida ufficiale per installarlo....
Grazie comunque per il tuo interessamento...

[cornetto]

Comunque se cerchi "install iptables on qnap" vedrai che non è previsto nel kernel ufficiale. Comunque il VPN a me funzionava fino a qualche mese fa, poi non so cosa sia successo.

[thece]

Non conosco la distro Linux usata per gestire il NAS QNAP TS-219P+, io mi stavo riferendo ad una distro "standard" ... comunque mi sembra molto strano che abbiano disabilitato iptables, che è parte integrante del kernel Linux, dovrei indagare

Ciao

[thece]

Giusto per la cronaca, hai provato le modifiche che ti ho indicato ai due file di configurazione? Magari l'inoltro dei pacchetti IP sulle schede di rete lo gestisce già lui in automatico

[thece]

man chown immagino sia la guida di chown...comunque non mi funziona da putty.
Come seguita a non funzionarmi il comando chown. Ho letto in giro che il commando chown prevede sia il . che il : per separare il gruppo. Insomma interpreta il mio cognome come gruppo...che ovviamente non esiste.

Putty è solo una shell per SSH, non sa nulla dei comandi supportati dal sistema verso il quale ti connetti.
Se non prende il comando man chown probabilmente non hai la pagina man di chown installata oppure man installato

Mah ... sulla mia pagina man c'è scritto di usare : (due punti), il . (punto) non è previsto. Vai tu a sapere se QNAP ha personalizzato il comando chown

[thece]

Sulla mia distro Linux, come utente root, ho provato ha creare un utente di login ospite.fisso.
Ho dovuto usare il comando

Codice: Seleziona tutto

adduser --force-badname --shell=/bin/bash --home=/home/ospite.fisso ospite.fisso

altrimenti non me lo lasciava fare.
Poi ho creato un file vuoto con

Codice: Seleziona tutto

touch test.txt

e gli ho cambiato (solo) l'utente proprietario con

Codice: Seleziona tutto

chown ospite.fisso prova.txt

ha funzionato tutto

[cornetto]

ha funzionato tutto

Che dire, piacerebbe anche a me che funzionasse, ma non funziona :-))

Giusto per la cronaca, hai provato le modifiche che ti ho indicato ai due file di configurazione? Magari l'inoltro dei pacchetti IP sulle schede di rete lo gestisce già lui in automatico

SI ho provato, ma non ho neppure openvpn nel percorso/etc/init.d/ dunque non posso fare restart.

A parte questi problemi, sono riuscito a fare tutto...ma il ping ancora non funziona.

[cornetto]

Up...nessuno ha un'idea di come risolvere il mio problema? Grazie mille per i contributi dei più esperti...

[gmqnap]

Trovato soluzione:

1) Accedi via SSH e guarda le regole IP (ti faccio il mio esempio):

Codice: Seleziona tutto

[~] # ip rule show
0:      from all lookup local
500:    from 192.168.0.253 lookup 1
500:    from 169.254.100.100 lookup 2
32766:  from all lookup main
32767:  from all lookup default

2) Guarda la tabella corrispondente al tuo indirizzo IP (nel mio caso 1)

Codice: Seleziona tutto

[~] # ip route show table 1
192.168.0.0/24 via 192.168.0.253 dev eth0
default via 192.168.0.1 dev eth0

3) Autorizza anche gli indirizzi IP assegnati da OpenVPN ad essere spediti al gateway (nel mio caso tabella1). Gli indirizzi IP sono quelli assegnati di default da OpenVPN, se li hai cambiati agisci di conseguenza...;-)

Codice: Seleziona tutto

[~] # ip route add 10.8.0.0/24 via 10.8.0.2 dev tun0 table 1

4) ricontrolla la tabella 1 eventualmente

Codice: Seleziona tutto

[~] # ip route show table 1
10.8.0.0/24 via 10.8.0.2 dev tun0
192.168.0.0/24 via 192.168.0.253 dev eth0
default via 192.168.0.1 dev eth0

5) Tutto ok! Prova un ping....

6) Ciao!

P.S. Al riavvio del NAS il cambio di tabella viene perso, quindi se vuoi che venga eseguito all'avvio... Google! Da forum in inglese, ma spero di essere stato utile...