Il 20/03/2020 17:21, Giulio Turetta ha scritto:
Il server Openvpn su Isp Wind3 allal fine l'ho dismesso e ho rinunciato al lavoro: la vita è troppo breve.Che configurazione hai sul server/firewall?
Ho configurazioni analoghe su altri server, collegati con Isp diversi da Wind3, che funzionano bene da anni. E adesso ho tre client Vpn sempre Wind3 che non riescono a collegarsi ad alcuni server Vpn che non hanno connettività Wind3 ma di altri Isp. Tutti gli altri client, che hanno Isp diversi da Wind3, anche gli Isp più esoterici e sconosciuti, riescono ad accedere in Vpn: solo i client Wind3 non riescono.
Il server che ho dismesso comunque aveva queste configurazioni:Router che indirizza la DMZ verso il firewall, che ospita anche il server Openvpn.
Firewall (Shorewall) configurato con le seguenti regole: ZONES: fw firewall net ipv4 loc ipv4 vpn ipv4 INTERFACES: net eth0 loc eth1 vpn tun+ SNAT: MASQUERADE 10.8.0.0/24 eth0 MASQUERADE 10.0.0.0/24 eth0 RULES: SSH(ACCEPT) net:mioipaddress fw ACCEPT net fw 1194 udpe poi gli ACCEPT e i DNAT dei vari servizi da e per le varie zone e i vari dispositivi.
Non riuscivo a raggiungere il server nemmeno con Ssh.
Occhio che i router dei gestori non fanno sempre nat simmetrici quindi qualsiasi regola sulla porta sorgente potrebbe non funzionare client_ip:client_port -> public_ip:random_port -> server_ip:server_port Se sul server hai impostato rport o hai regole (tipo iptables -sport) rischi di essere tu a tagliarti fuori i client. Il 20/03/20 09:13, franchi@modula.net ha scritto:Il 17/03/2020 18:39, Nicola Ferrari (#554252) ha scritto:On 3/17/20 6:23 PM, franchi@modula.net wrote:Il 17/03/2020 17:44, Nicola Ferrari (#554252) ha scritto:Porta? Protocollo di trasporto?1194 udp I server Vpn sono configurati bene. Si tratta di sono due server diversi, uno attestato su Fastweb e due su Telecom. Hanno ognuno una dozzina di client Vpn funzionanti, salvo gli unici tre client che sono su Wind. Sembra quasi che ci sia un Nat o un Proxy interposto negli apparati Wind che rende impossibile raggiungere i server.Non potrebbe semplicemente essere che W3 "chiude" porte non standard e/o udp?Non saprei, ma quando ho fatto server Ovpn connesso con Vdsl/Wind3 non sono riuscito a raggiungerlo da fuori nemmeno con Ssh.Motivo per cui farei un rapido test cambiando porta di ascolto, oppure reindirizzerei più porte sul lato pubblico verso la medesima porta di ascolto openvpn..Molto difficile, per vari motivi, ma non escludo di poter fare un test nottetempo se uno dei client con conettività Wind è disposto nottetempo a collaborare. Purtroppo il Call center di Wind, che già era poco o punto collaborativo in periodi normali, adesso è praticamente irraggiungibile.ciao, NLuciano
Luciano