Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
Il 26/03/2020 22:52, Maurizio Scarpa ha scritto: Io sono su rete WIND (ora W3) con linea VDSL e riesco a pubblicare praticamente tutto sena nessuna limitazione. Escludo NAT o proxy di rete magari c'è da settare bene il modem. Io ho uno Zyxel e addirittura ci faccio Tunneling IPv6 over IPv4 con Hurricane Electric. Anche al mio cliente hanno dato uno Zyxel+interfaccia FTTH Open Fiber. Non mi pare che ci sia molto da configurare: disattivo il firewall sul router Zyxel, indirizzo la DMZ sul firewall del cliente e le connessioni in entrata, se abilitate, devono funzionare. Anche con nmap da un IP opportunamente abilitato non riesco a vedere le porte aperte sul firewall. Lo stesso Firewall, portato su connettività diversa, funziona normalmente anche come server Vpn. Vedo che su questo problema del Nat interposto sulla rete Wind (e non solo) ci sono molti post in giro, ma continuo a sospettare l'esistenza di un proxy. Se a te funziona tutto bene è una buona notizia, ma io non ci sono riuscito. Magari nel frattempo è cambiato qualcosa, o in certe zone ci sono apparati diversi, non saprei. Ti ringrazio per la risposta. Aggiornerò il post quando avrò occasione di imbattermi nuovamente in una connessione Wind. Luciano Se serve contattatemi su skype e/o mail Il 20/03/2020 09:13, fran...@modula.net ha scritto: Il 17/03/2020 18:39, Nicola Ferrari (#554252) ha scritto: On 3/17/20 6:23 PM, fran...@modula.net wrote: Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto: Porta? Protocollo di trasporto? 1194 udp I server Vpn sono configurati bene. Si tratta di sono due server diversi, uno attestato su Fastweb e due su Telecom. Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre client che sono su Wind. Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind che rende impossibile raggiungere i server. Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o udp? Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non sono riuscito a raggiungerlo da fuori nemmeno con Ssh. Motivo per cui farei un rapido test cambiando porta di ascolto, oppure reindirizzerei più porte sul lato pubblico verso la medesima porta di ascolto openvpn.. Molto difficile, per vari motivi, ma non escludo di poter fare un test nottetempo se uno dei client con conettività Wind è disposto nottetempo a collaborare. Purtroppo il Call center di Wind, che già era poco o punto collaborativo in periodi normali, adesso è praticamente irraggiungibile. ciao, N Luciano Luciano.
Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
Io sono su rete WIND (ora W3) con linea VDSL e riesco a pubblicare praticamente tutto sena nessuna limitazione. Escludo NAT o proxy di rete magari c'è da settare bene il modem. Io ho uno Zyxel e addirittura ci faccio Tunneling IPv6 over IPv4 con Hurricane Electric. Se serve contattatemi su skype e/o mail Il 20/03/2020 09:13, fran...@modula.net ha scritto: Il 17/03/2020 18:39, Nicola Ferrari (#554252) ha scritto: On 3/17/20 6:23 PM, fran...@modula.net wrote: Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto: Porta? Protocollo di trasporto? 1194 udp I server Vpn sono configurati bene. Si tratta di sono due server diversi, uno attestato su Fastweb e due su Telecom. Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre client che sono su Wind. Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind che rende impossibile raggiungere i server. Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o udp? Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non sono riuscito a raggiungerlo da fuori nemmeno con Ssh. Motivo per cui farei un rapido test cambiando porta di ascolto, oppure reindirizzerei più porte sul lato pubblico verso la medesima porta di ascolto openvpn.. Molto difficile, per vari motivi, ma non escludo di poter fare un test nottetempo se uno dei client con conettività Wind è disposto nottetempo a collaborare. Purtroppo il Call center di Wind, che già era poco o punto collaborativo in periodi normali, adesso è praticamente irraggiungibile. ciao, N Luciano -- === Ing. Maurizio Scarpa Via Lucrezia Romana, 65 00043 - Ciampino (RM) mail: mauri...@scarpa.rm.it pec: scar...@pec.ording.roma.it skype: scarpam72 ===
Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
Il 20/03/2020 17:21, Giulio Turetta ha scritto: Che configurazione hai sul server/firewall? Il server Openvpn su Isp Wind3 allal fine l'ho dismesso e ho rinunciato al lavoro: la vita è troppo breve. Ho configurazioni analoghe su altri server, collegati con Isp diversi da Wind3, che funzionano bene da anni. E adesso ho tre client Vpn sempre Wind3 che non riescono a collegarsi ad alcuni server Vpn che non hanno connettività Wind3 ma di altri Isp. Tutti gli altri client, che hanno Isp diversi da Wind3, anche gli Isp più esoterici e sconosciuti, riescono ad accedere in Vpn: solo i client Wind3 non riescono. Il server che ho dismesso comunque aveva queste configurazioni: Router che indirizza la DMZ verso il firewall, che ospita anche il server Openvpn. Firewall (Shorewall) configurato con le seguenti regole: ZONES: fw firewall net ipv4 loc ipv4 vpn ipv4 INTERFACES: net eth0 loc eth1 vpn tun+ SNAT: MASQUERADE 10.8.0.0/24 eth0 MASQUERADE 10.0.0.0/24 eth0 RULES: SSH(ACCEPT) net:mioipaddress fw ACCEPT net fw 1194 udp e poi gli ACCEPT e i DNAT dei vari servizi da e per le varie zone e i vari dispositivi. Non riuscivo a raggiungere il server nemmeno con Ssh. Occhio che i router dei gestori non fanno sempre nat simmetrici quindi qualsiasi regola sulla porta sorgente potrebbe non funzionare client_ip:client_port -> public_ip:random_port -> server_ip:server_port Se sul server hai impostato rport o hai regole (tipo iptables -sport) rischi di essere tu a tagliarti fuori i client. Il 20/03/20 09:13, fran...@modula.net ha scritto: Il 17/03/2020 18:39, Nicola Ferrari (#554252) ha scritto: On 3/17/20 6:23 PM, fran...@modula.net wrote: Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto: Porta? Protocollo di trasporto? 1194 udp I server Vpn sono configurati bene. Si tratta di sono due server diversi, uno attestato su Fastweb e due su Telecom. Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre client che sono su Wind. Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind che rende impossibile raggiungere i server. Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o udp? Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non sono riuscito a raggiungerlo da fuori nemmeno con Ssh. Motivo per cui farei un rapido test cambiando porta di ascolto, oppure reindirizzerei più porte sul lato pubblico verso la medesima porta di ascolto openvpn.. Molto difficile, per vari motivi, ma non escludo di poter fare un test nottetempo se uno dei client con conettività Wind è disposto nottetempo a collaborare. Purtroppo il Call center di Wind, che già era poco o punto collaborativo in periodi normali, adesso è praticamente irraggiungibile. ciao, N Luciano Luciano
Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
Che configurazione hai sul server/firewall? Occhio che i router dei gestori non fanno sempre nat simmetrici quindi qualsiasi regola sulla porta sorgente potrebbe non funzionare client_ip:client_port -> public_ip:random_port -> server_ip:server_port Se sul server hai impostato rport o hai regole (tipo iptables -sport) rischi di essere tu a tagliarti fuori i client. Il 20/03/20 09:13, fran...@modula.net ha scritto: > Il 17/03/2020 18:39, Nicola Ferrari (#554252) ha scritto: >> On 3/17/20 6:23 PM, fran...@modula.net wrote: >>> >>> Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto: Porta? Protocollo di trasporto? >>> 1194 udp >>> >>> I server Vpn sono configurati bene. Si tratta di sono due server >>> diversi, uno attestato su Fastweb e due su Telecom. >>> Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre >>> client che sono su Wind. >>> Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati >>> Wind >>> che rende impossibile raggiungere i server. >> Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o >> udp? > Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non > sono riuscito a raggiungerlo da fuori nemmeno con Ssh. > >> >> Motivo per cui farei un rapido test cambiando porta di ascolto, oppure >> reindirizzerei più porte sul lato pubblico verso la medesima porta di >> ascolto openvpn.. > Molto difficile, per vari motivi, ma non escludo di poter fare un test > nottetempo se uno dei client con conettività Wind è disposto > nottetempo a collaborare. > > Purtroppo il Call center di Wind, che già era poco o punto > collaborativo in periodi normali, adesso è praticamente irraggiungibile. > >> ciao, >> N >> > Luciano >
Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
Il 17/03/2020 18:39, Nicola Ferrari (#554252) ha scritto: On 3/17/20 6:23 PM, fran...@modula.net wrote: Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto: Porta? Protocollo di trasporto? 1194 udp I server Vpn sono configurati bene. Si tratta di sono due server diversi, uno attestato su Fastweb e due su Telecom. Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre client che sono su Wind. Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind che rende impossibile raggiungere i server. Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o udp? Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non sono riuscito a raggiungerlo da fuori nemmeno con Ssh. Motivo per cui farei un rapido test cambiando porta di ascolto, oppure reindirizzerei più porte sul lato pubblico verso la medesima porta di ascolto openvpn.. Molto difficile, per vari motivi, ma non escludo di poter fare un test nottetempo se uno dei client con conettività Wind è disposto nottetempo a collaborare. Purtroppo il Call center di Wind, che già era poco o punto collaborativo in periodi normali, adesso è praticamente irraggiungibile. ciao, N Luciano
Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
HO cercato per la rete e sono arrivato a questo dunque: windtre non droppa i pacchetti relativi alla vpn; e' il router datoci che non lo permette: se il tuo router e' un home abilita la dmz in quanto il portfowarding non funziona con l'ultimo firmware. Detto cio' imposta i dns di google.com perche' se abiliti la dmz non ti funzionera' piu' nulla. Testato sulla mia pelle. 3 cosa: comprati nu ruter fibra decente. Il 17/03/2020 18:39, Nicola Ferrari (#554252) ha scritto: On 3/17/20 6:23 PM, fran...@modula.net wrote: Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto: Porta? Protocollo di trasporto? 1194 udp I server Vpn sono configurati bene. Si tratta di sono due server diversi, uno attestato su Fastweb e due su Telecom. Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre client che sono su Wind. Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind che rende impossibile raggiungere i server. Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o udp? Motivo per cui farei un rapido test cambiando porta di ascolto, oppure reindirizzerei più porte sul lato pubblico verso la medesima porta di ascolto openvpn.. ciao, N
Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
On 3/17/20 6:23 PM, fran...@modula.net wrote: > > > Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto: >> Porta? >> Protocollo di trasporto? > 1194 udp > > I server Vpn sono configurati bene. Si tratta di sono due server > diversi, uno attestato su Fastweb e due su Telecom. > Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre > client che sono su Wind. > Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind > che rende impossibile raggiungere i server. Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o udp? Motivo per cui farei un rapido test cambiando porta di ascolto, oppure reindirizzerei più porte sul lato pubblico verso la medesima porta di ascolto openvpn.. ciao, N -- +-+ | Linux User #554252 | +-+
Re: OT: Grido di dolore: Openvpn su Wind/Infostrada
Porta? Protocollo di trasporto? Per escludere problemi di questo genere prova a mettere il server in ascolto sulla 443 con trasporto tcp... ciao N -- +-+ | Linux User #554252 | +-+