[OpenVPN + Fastweb] Help!
Clicca QUI per vedere il messaggio nel forum |
| jdhoring |
Allora: la documentazione di OpenVPN dice che se non posso pingare una macchina, allora non posso neanche aprire una VPN.
Più che comprensibile.
Orbene, io ho Fastweb. Ed ho creato un DynDNS, ed installato un client DDNS che lo tiene aggiornato (correttamente, ho verificato con grc.com).
Tuttavia non riesco a pingare il mio server.
Perchè? Come faccio a risolvere?
$ vi tent.... |
| DeepBlue |
Immagino con Linux, visto come chiudi il post :)
Solite domande allora: che distro? iptables/ipchains installati?
Se sì controlla le catene/regole/policy e al limite apriti delle porte o delle thrusted interfaces. |
| LazerPhEa |
| Non è sempre il solito problema del natting di FW? |
| korn |
Originally posted by jdhoring
ho creato un DynDNS, ed installato un client DDNS che lo tiene aggiornato (correttamente, ho verificato con grc.com).
Usare un DNS dinamico non risolve il problema del NAT.
Il DNS è pubblico, ma quando ci si collega esegue un redirect sul tuo IP di FW che è sempre cmq privato, quindi non visibile dall'esterno. |
| lord2y |
| l'unica via e` creare un tunnel con openVPN per aggirare il problema del nat di fw |
| AlphaGamma |
Oppure comprare da FW un bell'indirizzo pubblico. :)
Ed in quel momento abbiamo subito un bel serverino a 10 megabit... :D |
| DeepBlue |
Originally posted by AlphaGamma
Oppure comprare da FW un bell'indirizzo pubblico. :)
Ed in quel momento abbiamo subito un bel serverino a 10 megabit... :D
sì, ma ci vogliono un sacco di soldi :( |
| jdhoring |
Originally posted by DeepBlue
Immagino con Linux, visto come chiudi il post :)
Solite domande allora: che distro? iptables/ipchains installati?
Se sì controlla le catene/regole/policy e al limite apriti delle porte o delle thrusted interfaces.
Per ora con W2K server. Linux verrà. |
| jdhoring |
Originally posted by LazerPhEa
Non è sempre il solito problema del natting di FW?
eh si |
| jdhoring |
Originally posted by lord2y
l'unica via e` creare un tunnel con openVPN per aggirare il problema del nat di fw
Ehm... è il cane che si morde la coda.
Se non riesco a pingare da fuori il mio server di casa dietro il NAT di Fastweb, OpenVPN non va. |
| jdhoring |
Originally posted by DeepBlue
Mmm giustamente non avevo pensato che magari lui voleva collegarsi dall'esterno :P
Ad ogni modo c'è un progetto dove con una minima spesa annua (se non addirittura gratuitamente, non ricordo) ti danno un indirizzo ipv6 con il quale fare tunneling.
Si veda:
http://www.fast6.fastwebnet.org/index.php
http://www.sideralis.net/index.php?action=3
Potrebbe essere una soluzione ;)
Sarebbe bello. Ma non credo possano tunnelarmi 10 Mbps... |
| jdhoring |
Originally posted by AlphaGamma
Oppure comprare da FW un bell'indirizzo pubblico. :)
Ed in quel momento abbiamo subito un bel serverino a 10 megabit... :D
Dai dai dammi il tuo numero di carta di credito e il problema è risolto :D |
| DeepBlue |
quelli di fast6 sicruamente no, infatti ho letto nel loro "manifesto" che il tunnel non può essere usato per tirare su server web o ftp.
Quindi se hai un grosso traffico sicuramente ti segano l'account.
Per quanto riguarda il secondo link non saprei, l'ho trovato su google mentre cercavo il primo :) |
| lord2y |
Originally posted by jdhoring
Ehm... è il cane che si morde la coda.
Se non riesco a pingare da fuori il mio server di casa dietro il NAT di Fastweb, OpenVPN non va.
mica tanto cane che si morde la coda.
Se tu apri un tunnel VPN dalla tua macchina di casa probabilmente riesci a raggiungerla da fuori..Però la macchina che sta fuori dal NAT fw deve per FORZA entrare in un tunnel punto-punto con la tua di casa...
Chiederò lumi a chi di dovere e troviamo una soluzione ;) :asd: |
| Sephirot |
| interessa anche a me :P |
| ShutDown |
Originally posted by jdhoring
Allora: la documentazione di OpenVPN dice che se non posso pingare una macchina, allora non posso neanche aprire una VPN.
Non ho ben capito, da rete FW vuoi collegarti ad un concentratore VPN che sta' su Internet? Se e' cosi' non c'e' bisogno del ping...
Il problema sta' piuttosto nel NAT di FW. Io ho utenti che si collegano utilizzando un client di Cisco che ha un'opzione chiamata NAT Traversal, che praticamente incapsula in UDP i messaggi IKE SA.
Penso sia necessaria la stessa cosa con OpenVPN
Ciaz. |
| 10t8or |
uhm.. non vi seguo molto su cosa stiatie dicendo.. cmq
se ho capito bene volete usare openvpn per fare un bel tunnellino per uscire dal nat di fastweb giusto?
nulla di piu' semplice!
ti occorre un server (se ho capito bene ne hai uno esterno al lavoro boh.. giusto jd?) e non importa che da questo server non riesci a pingare casa (cosa peraltro ovvia visto il nat di fw)
l'importante e' infatti che da casa tu riesca a pingare il server del lavoro.. quindi quando configuri openvpn devi rendere casa come server e il lavoro come client e tutto funzionera' a meraviglia
(in soldoni, nel file di configurazione di casa metti "remote ip_pub_del_pc_al_lavoro" mentre al lavoro non metti la riga remote.. tutto li.. sceglöi una porta udp intelligente.. metti un ping ogni 60 secondi di keepalive e tutto ti fungera')
piuttosto se qualcuno si vuole unire alla nostra MAN in openvpn routata in ospf.. siamo gia in una ventina.. ;)
tent:wq |
| jdhoring |
:lode: a tent!
Il concetto è che non ho un IP pubblico nemmeno al lavoro.
Vabbè vorrà dire che chiederò al mio amico ISP (che di IP statici ne ha 8) di funzionarmi da punto di tunneling. |
| 10t8or |
ah ok.. se hai un doppio nat o che riesci a farti aprire al lavoro una porta sul firewall che redireige sul tuo pc o nisba.. hai bisogno appunto di un ip pubblico da qualche parte che farebbe da concentratore..
se qualcuno ha voglia o tempo.. si potrebbe tentare di creare un ovpn con tecnologia p2p un po' come skype.. cosi andrebbe anche in casi disperati dove sia sorgente che destinazione non hanno ip pubblici.. ;)
ciaocia
tent:wq |
| jdhoring |
È che per quello che vedo io, in pressochè tutte le aziende ci si ritrova dietro un NAT.
E, dato che Fastweb NATta, chi ha fastweb si ritrova con questo problema.
Certo che una tecnologia p2p sarebbe grandiosa... si attiva il tunnel su un IP noto e poi... saludos... |
|
|
|
