Mi sto divertendo a smanettare un pò con le VPN,oggi pom ho provato a mettere una macchina del LAB come server e un'altra come client(questi due PC fanno parte di una stessa LAN con connessione ADSL tramite Router con ip fissi assegnati dal provider).
Sulla macchina client ho disabilitato la LAN ed ho provato a connettermi tramite modem ISDN : tutto OK : le risorse di rete riguardanti la macchina Server sono tutte utilizzabili(nel senso che tutti i volumi condivisi sono accessibili).
Tornato a casa,ed avendo lasciato la macchina Server accesa e configurata per la VPN,ho provato a collegarmici ma,non vedo nessuna "risorsa di rete"!!!
In pratica mi collego al Server ma come faccio a far vedere al mio PC le cartelle messe in condivisione dal Server e quindi potervi accedere??
Per la cronaca,riesco a pingarlo..

Grazie,dai che se m'aiutate,faccio uno bello scherzo allo sfaticato del mio socio!! :D

Ho dato una bella spulciata al forum e qualcuno consigliava d'attivare il Wins sul Server oppure di digitare l'indirizzo ip del Server sulla barra degli indirizzi :confused: (http://forum.hwupgrade.it/showthread.php?s=&threadid=560313&highlight=vpn+risorse) ma, a parte che con il PC del Lab tutto funzionava,non mi ha risolto niente.

Leggevo poi di rindirizzare le porte (809 o 1723 ?) sull'ip della macchina che fa da server,ma credo che questo serva solamente per PC che escono con l'IP del Gateway(e non è il mio caso in quanto il router,tramite NAT,fa uscire la macchina Server su internet col proprio indirizzo IP)

A sto punto bho......mi sta a venì na galletta..quasi quasi faccio una capatina al LAB...vi prego fermatemi!!!! :D

Leggendo qua e là,poi,mi è venuta na curiosità : ma qualche distro Linux può fare in nativo da Server VPN con + connessioni simultanee?

Per il PPTP, se non ricordo male, la porta 809 dovrebbe essere utilizzata per il canale di controllo, la 1723 per il tunnel vero e proprio. O viceversa... attendo conferme o smentite. Se collegandoti in isdn come hai fatto la cosa ha funzionato, mi viene il dubbio che a casa tua il nodo vpn sia dietro un router/firewall.

Il fatto di non utilizzare "Risorse di rete" per accedere agli share remoti è una pratica piuttosto diffusa in caso di problemi. Se in explorer o da start->esegui dai un indirizzo del tipo \\192.168.0.x\ il client di rete microsoft (se funzionante e se quella macchina consente il browsing degli share) si collega direttamente alla macchina evitando di risolvere il suo nome tramite netbios. Se funziona significa che il problema è in qualcosa che blocca il netbios o il traffico broadcast in genere. Una prova IMHO più significativa sarebbe tentare di mappare uno share tramite net use * \\192.168.0.x\nomeshare appurato che l'utente con cui ti colleghi alla macchina di casa tua abbia effettivamente l'autorizzazione a leggere sulla rete remota.

Se il ping passa, nel tuo caso potrebbe essere (sempre per ipotesi) un problema di routing del traffico GRE (protocollo 47) che viene utilizzato dalla vpn microsoft per la trasmissione dei dati una volta stabilita la connessione di controllo. In sostanza se usi un router/firewall a casa tua devi assicurarti che l'apparecchio disponga di questa funzionalità (quello del laboratorio direi che la supporta).

Per linux esiste un server PPTP (Poptop, mi pare) e sicuramente ci sono dei client, altrimenti una soluzione alternativa è IPSec, un po' più complessa da mettere in piedi rispetto a PPTP ma più utilizzata per le vpn non "occasionali".

se no c'è un router come il mio che gestisce fino a 8 tunnel VPN.
Per linux, c'è la distribuzione smoothwall che fa da firewall e server VPN.

Sei proprio innamorato del tuo Vigor he?? :D Cmq lo sto cercando,l'avevo trovato a 185€ ma ora non ne vedo + traccia.

Cmq tornando a noi,ora sono nel Lab e con mia grande sorpresa non va + neanche da qui :rolleyes: :confused:
Fermo restando che nessuno ha toccato niente,mi stanno cascando le braccia.
Da casa mia uso un normale US robotics analogico e preventivamente spengo Zone alarm nessun firewall insomma.....ma niente,addirittura dopo un pò di smanettamenti non si conneteva neanche...
Ora provo a "aprire" sull'ip del server le porte 809 e 1723 sullo Zyxel 645r che è qui in lab anche se non ho impostato nessuna protezione,quindi a logica tutte le porte dovrebbero essere aperte no?

Per la cronaca,neanche mettendo l'indirizzo sulla barra riesco a vedere il Server.

Ha la "negoziazione" (sperando che sia il termine giusto) avviene in automatico,proverò a selezionare PPTP

A fra poco...

Ho disabilitato zone allarm sul client e va tutto OK....mo faccio altre prove e magari le riporto su sto post dovessero servire a qualcuno...

Ho fatto collegare il socio malefico da casa sua e tutto fila liscio.
A questo punto penso che sia il mio PC ad avere qualche problemino....

Cmq non è strano che riesca a vedere anche gli altri PC in rete,anche quelli sotto NAT(statico)?
Se li vede e riesce a pingarli(con l'IP della LAN) ,non c'è modo di fargli aprire le risorse condivise di quest'ultimi?

Per quanto riguarda Shothwall,potrebbe fare anche da router?

Cmq grazie x la pazienza ;)

sì, smoothwall fa anche da router e/o proxy

Slurp...quasi quasi.....certo che non avendo mai usato linux....

s'amministra tutto via web: è solo basato su linux, ma di linux non vedi praticamente nulla

Nei collegamenti vpn l'indirizzo ip privato del server e quello del client devono appartenere a range diversi (per es. 192.168.1.x e 192.168.2.x). Quindi, credo, in teoria dovresti avere a casa un indirizzo di rete fisso e impostare il server vpn per assegnare un indirizzo ip al client nello stesso range.

Originariamente inviato da toz
Cmq non è strano che riesca a vedere anche gli altri PC in rete,anche quelli sotto NAT(statico)?
Se li vede e riesce a pingarli(con l'IP della LAN) ,non c'è modo di fargli aprire le risorse condivise di quest'ultimi?


Non ci metterei la mano sul fuoco, ma zonealarm mi sembra un programma abbastanza invasivo da richiedere una completa (e IMHO defintiva :)) disinstallazione più che una disattivazione temporanea. Visto che hai già smanettato un bel po' io una prova la farei...

Il nat, una volta stabilita la connessione vpn, non ha più importanza visto che il traffico viene "tunnellizzato" (gran bel neologismo) su un unica porta: i due nodi vpn sono quelli che devono essere nattati correttamente.

Non capisco cosa intendi per "si vedono": riesci a vederli in risorse di rete o riesci *solo e soltanto* a pingarli?

Originariamente inviato da young
Nei collegamenti vpn l'indirizzo ip privato del server e quello del client devono appartenere a range diversi (per es. 192.168.1.x e 192.168.2.x). Quindi, credo, in teoria dovresti avere a casa un indirizzo di rete fisso e impostare il server vpn per assegnare un indirizzo ip al client nello stesso range.
spiega meglio

Originariamente inviato da gohan
spiega meglio


forse gohan è proprio quello che mi dicesti di fare te poco tempo fa e che risolse il problema della mia vpn, ovvero:

se il pc con server vpn è in una lan con ip di una certa classe, e il client che accede alla vpn si trova anch'esso in una lan con ip della stessa classe del server, accedendovi quando cerca unità condivise il suo windows cerca sulla sua rete locale e non sulla rete remota. Il problema ti ricorderai che su tuo consiglio lo risolsi impostando classi diverse di ip per pc che accedeva alla vpn e pc con server vpn, e impostando il server vpn per assegnare forzatamente ai pc client che accedevano via vpn ip appartenente al range di ip della lan in cui si trova il server vpn.

bhe sì, era solo che non avevo capito bene quello che intendesse.

Originariamente inviato da gohan
bhe sì, era solo che non avevo capito bene quello che intendesse.


ovvio, me l'avevi detto te qualche giorno fa di cambiare in quel modo! Effetto lauto pranzo domenicale!? :D

Scusate, ma io non l'ho ancora capita...
Supponiamo che la rete privata sia 192.168.0.x/24, il gateway (in questo caso il pc in laboratorio) vpn al quale il client (casa) si collega gli assegna un indirizzo in dhcp 192.168.0.x/24 per il tunnel, cosa c'è di sbagliato? :wtf:
Se la vpn è tra due lan allora si toglie il dhcp sul tunnel e si assegnano gli ip su due subnet diverse, per forza di cose le due interfacce su cui viene stabilito il tunnel sono su una rete o due reti diversa da quella privata...

Secondo me la vpn di toz a livello di network funziona, mi viene il dubbio che a questo punto non passino i broadcast netbios (192.168.0.255) o gli arp (già più probabile) ma a questo punto si usa il wins sul gateway vpn in laboratorio e qualcosa dovrebbe muoversi, no?

allora, io ti dico che nella mia modestissima conoscenza di networking ho fatto, sperando possa esserti utile. Ho una lan con un pc gateway che fa nat. Dovevo consentire l'accesso via vpn a un amico, che doveva accedere alle risorse su un pc client della lan (non il gateway quindi).

Ho creato la connessione in ingresso nel pc della mia lan a cui l'amico doveva accedere, impostata in modo da consentire la visione delle risorse condivise della mia lan, e impostata per assegnare forzatamente ip ai pc che si connettono del tipo di quelli che uso sulla mia lan, mappato la porta sul gateway in modo da forwardare le richieste sulla 1723 in TCP verso l'ip del pc client a cui l'amico doveva accedere.

Il mio amico si connetteva via vpn senza problemi, riusciva a navigare uscendo col mio ip, però non vedeva alcuna risorsa condivisa.

Ho verificato che non fosse un problema di gruppo di lavoro o del tipo di account con cui accedeva alla vpn questo mio amico (che avevo creato con poteri limitati e quindi non come admin).

Gohan mi ha poi spiegato che il problema poteva essere dovuto al fatto che quel mio amico accedeva alla mia rete da un pc che si trovava a sua volta in una rete locale con ip dello stesso tipo della mia lan casalinga.

Ho allora provveduto a modificare la classe di ip dei pc della mia lan (da 192.168.0.x a 10.0.0.x), ho cambiato il range di ip che il server vpn assegna ai client (mettendo ovviamente anche qui un range di ip del tipo 10.0.0.x).

Ecco che così ha funzionato tutto.

... infatti se il tunnel deve fare comunicare due lan è meglio che queste siano su due subnet (tu hai proprio cambiato classe) diverse anche per evitare che una delle due usi il gateway dell'altra per uscire, come succedeva al tuo amico.

Mi resta il dubbio che il problema del netbios si possa risolvere attivando il wins sul gateway vpn remoto visto che cmq in questo caso si parla di un singolo pc che si collega alla vpn con un modem, peccato che adesso non ho modo di provare...

Grazie per la precisazione!

un wins risolve sicuro i problemi netbios, ma basterebbe anche fare \\nomepc per accedere ai pc nella rete remota.

figurati. Diciamo che nella spiegazione fatta da me sopra è riassunta tutta la mia "esperienza" in ambito vpn, per cui mi dispiace per toz ma la mia partecipazione a questo thread interessante sarà per imparare anch'io, non per dargli altre informazioni sul funzionamento dell vpn temo. :rolleyes:

Ecco, quindi (cosa che non ho pravato), col cambiamento di classe di ip e subnet tra la mia e la sua rete non si sarebbe più verificato il fenomeno della navigazione internet da parte sua uscendo col mio ip (appunto perchè non potrebbe usare il mio gateway)?

Approfondirò i test appena anche lui avrà sarà sulla wireless lan in cui mi trovo io (se tutto va bene entro la settimana), e sarà dunque anche lui always on. Una cosa che vorrei sapere sarebbe che velocità riesce a sostenere la vpn, e se il collo lo fa solo la connessione internet o anche altre cose: ho visto che quando accedeva alla mia vpn, sia lui con isdn che gohan quando mi aiutato a fare una prova con adsl, la velocità di connessione era indicata da windows come 28KBps (224kbps quindi). Non so quanto sia da tenere in considerazione cmq quel valore, è chiaro che se devoessimo scambiare roba a quella velcoità converrebbe farlo alla grande senza vpn (rinunciando cmq all'indubbia comodità).

l'uso el gateway remoto di disabilita nelle impostazioni avanzate del tcp-ip della connessione VPN

Per quanto riguarda la banda disponibile sulla vpn credo che dipenda in larghissima parte dalla banda disponibile sul collegamento, il problema (almeno in ipsec, ma credo anche in pptp) è più che altro la latenza, sopratutto se il tunnel viene criptato e se le connessioni sono parecchie - con relativa responsabilità delle macchine che gestiscono il tunnel.

Originariamente inviato da gohan
ma basterebbe anche fare \\nomepc per accedere ai pc nella rete remota
Appunto, il problema è che (pare) non ci riesca nemmeno con l'ip, quindi in realtà anche il wins è un ipotesi... mah, beato lui che la domenica non la passa su un computer... ;)

Appunto, il problema è che (pare) non ci riesca nemmeno con l'ip, quindi in realtà anche il wins è un ipotesi... mah, beato lui che la domenica non la passa su un computer... ;)



lol

Della latenza, beh, me lo sentivo, ma tanto a noi servirebbe solo la banda per fare una specie di fondo unico della roba interessante che abbiamo sui dischi.

Beati voi che ce la passate la domenica sul PC :D

Cmq come ho scritto sopra il Server VPN sembra essere a posto xchè ho fatto provare 2 miei amici ed entrano senza poblemi,vedendo tutte le risorse disponibili.

Inoltre la mia rete casalinga a una famiglia tipo 192.168.0.1...
mentre quella del Lab è 82.185.......

Tra l'altro ora non mi si connette neanche :mad:
Mi sa che mi metto a provare da un muletto...

Domani spero d'avere un pò di tempo ed attivare il Wins sul server per vedere se migliora qualcosa a livello di latenze(:confused:)che mi sembrano veramente esagerate anche xchè per ora uso solo PPTP.

Ringrazio cmq tutti....vi farò sapere.

mi intrometto, io devo fare una vpn verso una rete bloccata da un router che non supporta il vpn quale orte devo aprire??
ps c'è un post aperto da me
aiutatemi vi prego
vi anticipo che passo tramite un servizio offerto da mclink (adsl) che mi faaccedere da qualsiasi collegamento nella sua rete interna con un ip fisso (non ho l'ip fisso all'adsl e questo risolve il problema) quindi io mi collego ma non posso entrare perchè non vedo la rete
che faccio?
continuate qui o nel mio post a piacere basta che rispondete
grazie a tutti

Mi spiace non poterti aiutare gigit cmq,e mi potrei sbagliare di grosso,se il router non supporta VPN,non puoi accedere a tutta la rete.
Daltro canto,sicuramente puoi accedere ad un solo PC della rete,aspetta cmq pareri di gente + esperta di me.
La porta VPN dovrebbe essere la 1723.

Ora chiedo io una cosa,su Win XP pro,non c'è un servizio server WINS vero?Ne devo installare uno di terze parti?Me ne dite uno che pensate sia buono?
Grazie..... nel frattempo sto sbattendo la testa con smoothwall :muro:

il WINS c'è solo nelle versioni server di windows.

Qualche prog esterno?

no, il WINS è proprietario MS.

Azz...... grazie