Discussione:
OT: Grido di dolore: Openvpn su Wind/Infostrada
(troppo vecchio per rispondere)
Nicola Ferrari (#554252)
2020-03-17 16:50:01 UTC
Permalink
Porta?
Protocollo di trasporto?

Per escludere problemi di questo genere prova a mettere il server in
ascolto sulla 443 con trasporto tcp...

ciao
N
--
+---------------------+
| Linux User #554252 |
+---------------------+
Nicola Ferrari (#554252)
2020-03-17 17:40:01 UTC
Permalink
Post by Nicola Ferrari (#554252)
Porta?
Protocollo di trasporto?
1194 udp
I server Vpn sono configurati bene. Si tratta di sono due server
diversi, uno attestato su Fastweb e due su Telecom.
Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre
client che sono su Wind.
Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind
che rende impossibile raggiungere i server.
Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o
udp?

Motivo per cui farei un rapido test cambiando porta di ascolto, oppure
reindirizzerei più porte sul lato pubblico verso la medesima porta di
ascolto openvpn..

ciao,
N
--
+---------------------+
| Linux User #554252 |
+---------------------+
marco
2020-03-19 18:30:01 UTC
Permalink
HO cercato per la rete e sono arrivato a questo dunque: windtre non
droppa i pacchetti relativi alla vpn; e' il router datoci che non lo
permette: se il tuo router e' un home&life abilita la dmz in quanto il
portfowarding non funziona con l'ultimo firmware. Detto cio' imposta i
dns di google.com perche' se abiliti la dmz non ti funzionera' piu'
nulla. Testato sulla mia pelle. 3 cosa: comprati nu ruter fibra decente.
Post by Nicola Ferrari (#554252)
Post by Nicola Ferrari (#554252)
Porta?
Protocollo di trasporto?
1194 udp
I server Vpn sono configurati bene. Si tratta di sono due server
diversi, uno attestato su Fastweb e due su Telecom.
Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre
client che sono su Wind.
Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind
che rende impossibile raggiungere i server.
Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o
udp?
Motivo per cui farei un rapido test cambiando porta di ascolto, oppure
reindirizzerei più porte sul lato pubblico verso la medesima porta di
ascolto openvpn..
ciao,
N
f***@modula.net
2020-03-20 08:20:02 UTC
Permalink
Post by Nicola Ferrari (#554252)
Post by Nicola Ferrari (#554252)
Porta?
Protocollo di trasporto?
1194 udp
I server Vpn sono configurati bene. Si tratta di sono due server
diversi, uno attestato su Fastweb e due su Telecom.
Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre
client che sono su Wind.
Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind
che rende impossibile raggiungere i server.
Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o
udp?
Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non
sono riuscito a raggiungerlo da fuori nemmeno con Ssh.
Post by Nicola Ferrari (#554252)
Motivo per cui farei un rapido test cambiando porta di ascolto, oppure
reindirizzerei più porte sul lato pubblico verso la medesima porta di
ascolto openvpn..
Molto difficile, per vari motivi, ma non escludo di poter fare un test
nottetempo se uno dei client con conettività Wind è disposto nottetempo
a collaborare.

Purtroppo il Call center di Wind, che già era poco o punto collaborativo
in periodi normali, adesso è praticamente irraggiungibile.
Post by Nicola Ferrari (#554252)
ciao,
N
Luciano
Giulio Turetta
2020-03-20 16:30:01 UTC
Permalink
Che configurazione hai sul server/firewall?

Occhio che i router dei gestori non fanno sempre nat simmetrici quindi
qualsiasi regola sulla porta sorgente potrebbe non funzionare

client_ip:client_port -> public_ip:random_port -> server_ip:server_port

Se sul server hai impostato rport o hai regole (tipo iptables -sport)
rischi di essere tu a tagliarti fuori i client.
Post by f***@modula.net
Post by Nicola Ferrari (#554252)
Post by Nicola Ferrari (#554252)
Porta?
Protocollo di trasporto?
1194 udp
I server Vpn sono configurati bene. Si tratta di sono due server
diversi, uno attestato su Fastweb e due su Telecom.
Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre
client che sono su Wind.
Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind
che rende impossibile raggiungere i server.
Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o
udp?
Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non
sono riuscito a raggiungerlo da fuori nemmeno con Ssh.
Post by Nicola Ferrari (#554252)
Motivo per cui farei un rapido test cambiando porta di ascolto, oppure
reindirizzerei più porte sul lato pubblico verso la medesima porta di
ascolto openvpn..
Molto difficile, per vari motivi, ma non escludo di poter fare un test
nottetempo se uno dei client con conettività Wind è disposto
nottetempo a collaborare.
Purtroppo il Call center di Wind, che già era poco o punto
collaborativo in periodi normali, adesso è praticamente irraggiungibile.
Post by Nicola Ferrari (#554252)
ciao,
N
Luciano
f***@modula.net
2020-03-20 18:50:01 UTC
Permalink
Post by Giulio Turetta
Che configurazione hai sul server/firewall?
Il server Openvpn su Isp Wind3 allal fine l'ho dismesso e ho rinunciato
al lavoro: la vita è troppo breve.

Ho configurazioni analoghe su altri server, collegati con Isp diversi da
Wind3, che funzionano bene da anni.
E adesso ho tre client Vpn sempre Wind3 che non riescono a collegarsi ad
alcuni server Vpn che non hanno connettività Wind3 ma di altri Isp.
Tutti gli altri client, che hanno Isp diversi da Wind3, anche gli Isp
più esoterici e sconosciuti, riescono ad accedere in Vpn: solo i client
Wind3 non riescono.

Il server che ho dismesso comunque aveva queste configurazioni:

Router che indirizza la DMZ verso il firewall, che ospita anche il
server Openvpn.

Firewall (Shorewall) configurato con le seguenti regole:

ZONES:
fw    firewall
net   ipv4
loc    ipv4
vpn   ipv4

INTERFACES:
net eth0
loc eth1
vpn tun+

SNAT:
MASQUERADE 10.8.0.0/24 eth0
MASQUERADE 10.0.0.0/24 eth0

RULES:
SSH(ACCEPT)    net:mioipaddress    fw
ACCEPT            net    fw    1194 udp
e poi gli ACCEPT e i DNAT dei vari servizi da e per le varie zone e i
vari dispositivi.

Non riuscivo a raggiungere il server nemmeno con Ssh.
Post by Giulio Turetta
Occhio che i router dei gestori non fanno sempre nat simmetrici quindi
qualsiasi regola sulla porta sorgente potrebbe non funzionare
client_ip:client_port -> public_ip:random_port -> server_ip:server_port
Se sul server hai impostato rport o hai regole (tipo iptables -sport)
rischi di essere tu a tagliarti fuori i client.
Post by f***@modula.net
Post by Nicola Ferrari (#554252)
Post by Nicola Ferrari (#554252)
Porta?
Protocollo di trasporto?
1194 udp
I server Vpn sono configurati bene. Si tratta di sono due server
diversi, uno attestato su Fastweb e due su Telecom.
Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre
client che sono su Wind.
Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind
che rende impossibile raggiungere i server.
Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o
udp?
Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non
sono riuscito a raggiungerlo da fuori nemmeno con Ssh.
Post by Nicola Ferrari (#554252)
Motivo per cui farei un rapido test cambiando porta di ascolto, oppure
reindirizzerei più porte sul lato pubblico verso la medesima porta di
ascolto openvpn..
Molto difficile, per vari motivi, ma non escludo di poter fare un test
nottetempo se uno dei client con conettività Wind è disposto
nottetempo a collaborare.
Purtroppo il Call center di Wind, che già era poco o punto
collaborativo in periodi normali, adesso è praticamente irraggiungibile.
Post by Nicola Ferrari (#554252)
ciao,
N
Luciano
Luciano
Maurizio Scarpa
2020-03-26 22:00:01 UTC
Permalink
Io sono su rete WIND (ora W3) con linea VDSL e riesco a pubblicare
praticamente tutto sena nessuna limitazione.
Escludo NAT o proxy di rete magari c'è da settare bene il modem. Io ho
uno Zyxel e addirittura ci faccio Tunneling IPv6 over IPv4 con Hurricane
Electric.

Se serve contattatemi su skype e/o mail
Post by f***@modula.net
Post by Nicola Ferrari (#554252)
Post by Nicola Ferrari (#554252)
Porta?
Protocollo di trasporto?
1194 udp
I server Vpn sono configurati bene. Si tratta di sono due server
diversi, uno attestato su Fastweb e due su Telecom.
Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre
client che sono su Wind.
Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind
che rende impossibile raggiungere i server.
Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o
udp?
Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non
sono riuscito a raggiungerlo da fuori nemmeno con Ssh.
Post by Nicola Ferrari (#554252)
Motivo per cui farei un rapido test cambiando porta di ascolto, oppure
reindirizzerei più porte sul lato pubblico verso la medesima porta di
ascolto openvpn..
Molto difficile, per vari motivi, ma non escludo di poter fare un test
nottetempo se uno dei client con conettività Wind è disposto
nottetempo a collaborare.
Purtroppo il Call center di Wind, che già era poco o punto
collaborativo in periodi normali, adesso è praticamente irraggiungibile.
Post by Nicola Ferrari (#554252)
ciao,
N
Luciano
--
=======================================================================
Ing. Maurizio Scarpa

Via Lucrezia Romana, 65
00043 - Ciampino (RM)
mail: ***@scarpa.rm.it
pec: ***@pec.ording.roma.it
skype: scarpam72
=======================================================================
f***@modula.net
2020-03-27 18:10:02 UTC
Permalink
Post by Maurizio Scarpa
Io sono su rete WIND (ora W3) con linea VDSL e riesco a pubblicare
praticamente tutto sena nessuna limitazione.
Escludo NAT o proxy di rete magari c'è da settare bene il modem. Io ho
uno Zyxel e addirittura ci faccio Tunneling IPv6 over IPv4 con
Hurricane Electric.
Anche al mio cliente hanno dato uno Zyxel+interfaccia FTTH Open Fiber.
Non mi pare che ci sia molto da configurare: disattivo il firewall sul
router Zyxel,  indirizzo la DMZ sul firewall del cliente e le
connessioni in entrata, se abilitate, devono funzionare.  Anche con nmap
da un IP opportunamente abilitato non riesco a vedere le porte aperte
sul firewall.
Lo stesso Firewall, portato su connettività diversa, funziona
normalmente anche come server Vpn.
Vedo che su questo problema del Nat interposto sulla rete Wind (e non
solo) ci sono molti post in giro, ma continuo a sospettare l'esistenza
di un proxy.
Se a te funziona tutto bene è una buona notizia, ma io non ci sono
riuscito. Magari nel frattempo è cambiato qualcosa, o in certe zone ci
sono apparati diversi, non saprei.
Ti ringrazio per la risposta. Aggiornerò il post quando avrò occasione
di imbattermi nuovamente in una connessione Wind.

Luciano
Post by Maurizio Scarpa
Se serve contattatemi su skype e/o mail
Post by f***@modula.net
Post by Nicola Ferrari (#554252)
Post by Nicola Ferrari (#554252)
Porta?
Protocollo di trasporto?
1194 udp
I server Vpn sono configurati bene. Si tratta di sono due server
diversi, uno attestato su Fastweb e due su Telecom.
Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre
client che sono su Wind.
Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind
che rende impossibile raggiungere i server.
Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o
udp?
Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3
non sono riuscito a raggiungerlo da fuori nemmeno con Ssh.
Post by Nicola Ferrari (#554252)
Motivo per cui farei un rapido test cambiando porta di ascolto, oppure
reindirizzerei più porte sul lato pubblico verso la medesima porta di
ascolto openvpn..
Molto difficile, per vari motivi, ma non escludo di poter fare un
test nottetempo se uno dei client con conettività Wind è disposto
nottetempo a collaborare.
Purtroppo il Call center di Wind, che già era poco o punto
collaborativo in periodi normali, adesso è praticamente irraggiungibile.
Post by Nicola Ferrari (#554252)
ciao,
N
Luciano
Luciano.

Loading...