Il 21/06/2012 10:14, Marco ha scritto:
Ciao,
sto cercando di sistemare una VPN (con pptpd) su una vecchia Ubuntu
10.10 (upgrade possibile ma anche no).
Credo di avere il setup di pptpd giusto sulla macchina, ma da fuori
non mi ci collego (e` dietro ad un router). Mi chiedevo se devo
forwardare delle porte.
PREMESSE:
a) non conosco manco lontanamente pptpd. cu fu?
b) suppongo che si stia parlando di una vera e propria VPN in "stile
ipsec/pptp/similari" e non un differente tipo di paciugo (ce ne sono
millanta direi)
a naso può essere che il tuo problema stia nel filtraggio del protocollo
GRE.
che io sappia (ma il mio sapere non e' infinito) i classici routerini
ADSL "da casa" non c'e' verso che te lo girino e/o ,peggio, che lo
riconoscano senza un certo numero di martellate, se poi hai attivato il
loro "presunto firewall" e questo ti scarta i pacchetti che considera
malformed, sei nei guai.
Di solito (quando si puo) il problema viene risolto intestando un IP
direttamente sull'oggetto che termina la VPN, normalmente un firewall o
qualcosa di simile, proprio perche' il GRE e' un protocollo, il 47 se
non ricordo male, e ruotare la sola porta (sempre se non ricordo male la
1723 o la 1273, google helps) non basta perche' rischia di venire
identificato come malformed packet qualunque pacchetto GRE.
in realtà POI hai anche un secondo casino legato alla crittazione
completa dei pacchetti che non permette a chi li legge dall'esterno di
identificare mittente e destinatario, ma questo e' a mio avviso un "in
piu'" di un pastrocchio inestricabile.
il che vuol dire che le tue scelte sono, per quel che ne so:
a) avere un IP da dedicare al tuo firewall, togliere il nat dal router e
farlo fare al suddetto firewallo, mettendo semplicemente i due in rete
tra loro con la tua rete di X ip statici pubblici. cosa che OVVIAMENTE
richiede una rete di ip statici pubblici, e mi sembra di intuire che non
sia il tuo caso
b) affidarti alle magie del NAT Traversal, nato proprio per fare girare
le VPN attraverso ai nat. soluzione spesso bestemmiosa ma piu' a portata
di mano
Questo oggetto in giro per i router esiste in 2 flavour diversi belli
incasinati tra loro, cioe' "passthroug VPN" e "NAT-T" (o NAT Traversal).
il problema grosso e' vedere di cosa e' equipaggiato il tuo router e/o
il tuo firewall, perche' con massima gioia spesso le soluzioni di VPN
Passthroug sono proprietarie delle varie case produttrici e differiscono
l'una dall'altra, mentre il nat traversal dovrebbe essere uno standard
con tanto di bel pacchetto di RFC... ma assomiglia molto all'802.11N che
tutti chiamano "standard" e su cui si fanno i fatti loro.Senza contare
che alcuni chiamano l'uno con l'altro nome e viceversa, cosi', per
rendere il mondo piu' gioioso!
TEORICAMENTE il NAT Traversal incanala la trasmissione criptata della
VPN in un tunnel UDP sulla porta 4500, ed oltre a cio' richiede il
passaggio dell'IKE sulla UDP 500 (sto sempre andando a mente, verifica
pls), quindi se hai apparati/software che ne permettono l'uso, magari te
la cavi cosi'.
in pratica, dai un'occhiata al tuo router se ha una voce "enable nat
traversal" e/o "enable vpn passtrhough", controlla se sul sw che stai
usando e' possibile usare queste robazze e vedi se ti aiutano; se il
router non ce l'ha prova a fare passare la UDP4500 e UDP500 all'altro
terminale , se il software non ce l'ha... e' valido dire "cambia
software" ? esempio da un lato shrew vpn a me ha risolto tanti casini,
dall'altro a un mio collega piace tanto openvpn ...
l'ultima alternativa e' cambiare il router con un firewall piu' o meno
serio, magari vecchiotto, dotato di porta ADSL e di capacità di
terminare VPN. ebay ne ha a pacchi, ma chiedono soldini :-P
ssh funziona perfettamente (e` forwardata all'ip interno) e quindi
potrei sempre usare il poor man's VPN con ssh -D e -L ma volevo fare
una cosa piu` pulita del solito.
Che porte devo inoltrare (se devo)?
Grazie,
marco
_______________________________________________
Erlug mailing list
Erlug@xxxxxxxxxxxxxx
http://erlug.linux.it/cgi-bin/mailman/listinfo/erlug
-----------------------------------------------------------
ErLUG webzine: http://erlug.linux.it
Manuali FDL:
LinuxFacile - http://linuxfacile.medri.org/
Linux Da Zero - http://erlug.linux.it/linuxdazero/
Connettivita' offerta da Ehiweb.it - http://www.ehiweb.it/
-----------------------------------------------------------
--
salumi e caci a tutti
Pietro Suffritti - Legolas The Elf
http//www.suffritti.it - http//gioco.net/startrek
http//www.treemmecarpi.org - http//www.adigitali.it
|