16 Luglio 2019, 08:31:06

DVA-5582 / DVA-5592 / DVA-5593 & VPN

Aperto da Pondera, 30 Agosto 2017, 15:37:01

thematy

Salve a tutti.
Ho letto un po' i messaggi di questo thread, ma non ho trovato una risposta.
Premessa. Vivo all'estero ed ho necessita' di mettere in rete "permanente" la mia LAN di casa con quella dei miei genitori che vivono in Italia ed hanno il DVA-5582 di infostrada.
A casa mia ho un router Fortigate.

Ho configurato entrambi i nostri router col DDNS e sono riuscito a creare un VPN tunnell IPSEC tra la mia LAN (10.0.0.0/24) e quella dei miei genitori (192.168.1.0/24).
Tutto va a meraviglie e da casa mia accedo alle risorse locali di casa dei miei e viceversa.
Quindi - se qualcuno avesse necessita' di fare una cosa simile, non esisti a scrivermi.

Adesso la parte piu' complessa.
Avrei anche necessita', alla bisogna, di uscire con un indirizzo IP italiano per aggirare il geolocking. Ho provato a mettere una routing statica sul mio router in modo da dirottare sul tunnel VPN alcune connessioni (tipo rai.tv) - ma senza successo. Nonostante veda la rete LAN dei miei non riesco ad uscire sul pubblico.
Consultandomi con un collega, abbiamo appurato che il problema sta nella IPSec Phase2. Al momento l'ho configurata specificando come 'local subnet' la mia rete locale e 'remote subnet' la rete locale die miei. Questo sul mio router. Sul DVA, ovviamente all'opposto. In questo modo ci "routiamo" il traffico LAN senza problemi, ma non mi consente di accedere ad altro.
La soluzione "sarebbe" quella di mettere una 0.0.0.0/0 come source e come destination su entrambi i router, poi dare un peso diverso ai gateway.

Il problema e' che appena ho messo la 0.0.0.0/0 sul DVA ho chiuso totalmente la connessione Internet dei miei, ed ho dovurto far resettare loro il router. Immagino perche' vengano create delle routing table che praticamente hanno deviato TUTTO il loro traffico sulla VPN e quindi non funziona.

Vorrei sapere se qualcuno ha (o ha avuto) esperienza di una condifurazione simile con DVA. L'interfaccia GUI e' a dir poco oscena. Purtroppo non posso andare troppo a tentatvi, onde evitare dover prendere un aereo per resettare di nuovo il loro router.... :-)

Grazie !

D-Link Forum

Durante la migrazione del database il messaggio inserito da @jaky75 è stato eliminato.

Riporto il testo del  messaggio originale:

@thematy
sto cercando di fare una cosa simile, puoi postare i dettagli della configurazioni?
Grazie dell'aiuto!

thematy

@jaky75 - se mi mandi un PM ti mando i dettagli appena possibile.
Cmq dipende anche quale router hai dall'altro lato.


cabajo

Salve a tutti, sto cercando disperatamente di creare  un tunnel tra il DVA5592 e l'ASUS AC RT68U nell'altra mia abitazione.
Considerando i problemi di VPN del Dlink e visto che ho un server OPENVPN sull'Asus che funziona benissimo, ho deciso di affiancare al Dlink un secondo router, un GL-Inet M300V2... uno scatolino di 8x8cm veramente magico, con sistema operativo OpenWRT e relativo client OpenVPN. E 'mo iniziano i guai...
Step 1: Rete dell'ASUS su 192.168.1.X Rete del Dlink su 192.168.2.X
Step 2: Collegato il GLInet da porta WAN a porta LAN del Dlink, aperta porta 1194 verso il GLINET tramite crea port mapping personalizzato, lanciata la connessione e... il tunnel è creato tramite 10.8.0.X
Step 3: Non va un tubo.... e da li inizio a farmi due-tremila domande ma non riesco a trovare la risposta su questo firmware "ostico": sicuramente visto che il client è esterno, manca una regola di routing personalizzato, ma non ho idea di come dargliela.
Oppure il firewall blocca...
C'e' qualche anima pia che può aiutarmi?

.fega.

Citazione di: cabajo il 25 Aprile 2019, 15:44:25Step 2: Collegato il GLInet da porta WAN a porta LAN del Dlink

Ciao, indirizzo IP del GLInet?
Hai configurato bene OpenWrt e il suo firewall?
In questo caso puoi vedere solo i dispositivi connessi all'ASUS e al GLInet.

Citazione di: cabajo il 25 Aprile 2019, 15:44:25il tunnel è creato tramite 10.8.0.X

OK ma nel log quando si connette al tunnel vedi che invia la rotta corretta? (push route 192.168.x.x)

cabajo

Citazione di: .fega. il 25 Aprile 2019, 18:53:38In questo caso puoi vedere solo i dispositivi connessi all'ASUS e al GLInet.
Esatto... resettato tutto, riconnesso tutto ed in effetti entrando in wireless nel GLInet il tunnel funzia alla grande e vedo tutta la rete dell'Asus. Ma connettendomi al Dlink, casca l'asino...(io). Infatti il problema è che dal lato client (non l'asus), tutte le periferiche sono connesse al Dlink (il GLInet non ha una gran portata come wifi, inoltre è monobanda e ha solo una porta lan...).
Il "Push route" da dove lo do? Entro in SSH nell'Openwrt? Intanto provo... Grazie!

antifascista

Ho il GL-AR750 e sono veramente dei bei giocattolini. Il mio è messo dietro al dlink e mi fa da client openvpn per alcuni device della mia lan, naturalmente questi non vedevano i device collegati al dlink fino a quando non ho messo l'eccezione per la rete 192.168.1.0/24 sulla vpn del routerino; così facendo i device fanno tutto attraverso la vpn, internet compresa, ma vedono correttamente tutte le risorse della mia lan. Il dlink invece mi fa perfettamente da server vpn ipsec tramite cui accedo alla mia lan da remoto.
Premesso che il port forwarding che hai fatto è inutile in quanto il tuo routerino è client e non server openvpn è normale che solo i device collegati a lui vadano sul tunnel e raggiungano la rete remota. Se tu volessi che tutti i tuoi device vadano in vpn allora dovresti mettere il dlink in bridge e mettere il gl-inet come unico router in connessione pppoe sul dlink; il problema unica lan del routerino sarebbe superabile con uno switch ma avresti una connessione castrata a 100 megabit. Considera poi che il tuo modello è abbastanza striminzito a risorse...Dovresti prendere in considerazione già il modello superiore al mio...
Ti consiglio anche di aggiornare alla versione 3 del firmware anche se ancora in testing ha funzionalità incredibili...
Ciao

cabajo

Citazione di: antifascista il 27 Aprile 2019, 09:48:17il problema unica lan del routerino sarebbe superabile con uno switch ma avresti una connessione castrata a 100 megabit. Considera poi che il tuo modello è abbastanza striminzito a risorse...Dovresti prendere in considerazione già il modello superiore al mio...

Ciao e grazie mille per l'intervento, ti quoto in pieno... il problema della connessione castrata però non esisterebbe (al momento) dal momento che la fibra ancora non è arrivata e vado ancora con la 20/1. Più che altro non avrei una connettività wifi a 5Ghz e perderei quelle due o tre cose buone del DVA...
Avevo provato a creare una connessione IPSEC tra il DVA e il client o server del QNAP (ho un TS453 nell'altra casa), ma non ha mai funzionato.
Insomma... creare un tunnel tra le mie due connessioni delle case (una è dove vivo, l'altra è quella del mare) è praticamente impossibile con solo il DVA e l'Asus AC R68U.. O cestino il DVA e compro un altro ASUS o nulla. Giusto?

antifascista

Il dva in ipsec va...bisogna solo trovare la giusta combinazione per la crittografia. Per il resto ti consiglio un gl-inet di livello superiore tipo il mio o il 750s, tra poco uscirà il convexa-s.
Ti assicuro che costano poco e fanno molto di più di router costosi come gli asus/netgear/linksys...
Considera che per lavoro uso solo Cisco... ;)

Licenza Creative Commons
Il contenuto dei messaggi del forum è distribuito con
Licenza Creative Commons Attribuzione Non commerciale 4.0
Tutti i marchi registrati citati appartengono ai legittimi proprietari