Topic: openvpn testata e funzionante

[Fumetto]

il problema inspiegabile e' che dopo almeno tre installazioni di sme la connessione da remoto prima funziona tranquillamente (putty con e senza chiavi ..o direttamente a server manager) e poi inspiegabilmente non ne vuol piu' sapere di andare!! il putty mi restituisce "Server unexpected closed network connection"...

Questo in effetti è quantomeno strano... dal messaggio pare che sia SME a troncare la connessione, ma se le prove le hai fatte dalla rete aziendale è possibile che il firewall installato in ufficio seghi il traffico considerato anomalo... le prove da altra rete libera da filtri (o con filtri modificabili a piacere) darà sicuramente risultati migliori imho...

ho anche modificato il sshd_config aggiungendo useDns no (come suggerito in rete) ma niente da fare...e perdippiu' al riavvio la mia modifica scompare...

Le modifiche ad alcune funzioni richiedono modifiche al sistema di template di SME per poter essere conservate durante i riavvii della macchina

[Stefano]

si infatti tra host e sme su vm all'interno della stessa lan la connessione riesco a stabilirla tranquillamente con ssh, con vpn-ppt e anche con openvpn.

e questo è abbastanza normale

al di fuori della stessa lan le cose cambiano..
il problema inspiegabile e' che dopo almeno tre installazioni di sme la connessione da remoto prima funziona tranquillamente (putty con e senza chiavi ..o direttamente a server manager) e poi inspiegabilmente non ne vuol piu' sapere di andare!! il putty mi restituisce "Server unexpected closed network connection"...

e i log cosa dicono? /var/log/messages

ho anche modificato il sshd_config aggiungendo useDns no (come suggerito in rete) ma niente da fare...e perdippiu' al riavvio la mia modifica scompare...

perchè, come ti è stato detto e come trovi scritto all'inizio del file, i file di conf vengono generati automaticamente..
per sapere come funziona SME dietro le quinte, consiglio la lettura del manuale per lo sviluppatore (in inglese).. è illuminante

adesso che mi sono ostinato proseguo in questa direzione:
1>ritesto il tutto da altra lan
2>siccome ho un dns dinamico effettuo tutte le verifiche di cui al link
https://www.dyndns.com/support/kb/why_cant_i_connect_to_my_server.html

se avete qualche altra idea per poter venirne a capo sono tutt'orecchi!!

grazie
Michele

come detto, guardare i log ed essere certo che il server sia raggiungibile

[MicSme]

Questo in effetti è quantomeno strano... dal messaggio pare che sia SME a troncare la connessione, ma se le prove le hai fatte dalla rete aziendale è possibile che il firewall installato in ufficio seghi il traffico considerato anomalo... le prove da altra rete libera da filtri (o con filtri modificabili a piacere) darà sicuramente risultati migliori imho...Le modifiche ad alcune funzioni richiedono modifiche al sistema di template di SME per poter essere conservate durante i riavvii della macchina

Niente da fare ho provato da altra lan con router controllabile dal sottoscritto e gli errori sono i
medesimi.
Ho testato su dyndns.org che l'ip corrisponda a quello del router
Ho verificato che le porte risultino aperte
connessione con vpn win xp --> utente sme --> password = errore 800 impossibile stabilire una connessione etc etc
conessione con putty = server unexpected error etc etc
se con http tento di visualizzare il dominio l'errore e'
450 Connecting host started transmitting before SMTP greeting
dulcis in fundo
i log dello sme non riportano un tubo per l'sshd solo il servizio in ascolto avviato ma niente di +.
il server funziona al 100 solo che resta inaccessibile
premetto che sul fw non ho fatto niente
Michele

[Stefano]

Niente da fare ho provato da altra lan con router controllabile dal sottoscritto e gli errori sono i
medesimi.
Ho testato su dyndns.org che l'ip corrisponda a quello del router
Ho verificato che le porte risultino aperte

ok

connessione con vpn win xp --> utente sme --> password = errore 800 impossibile stabilire una connessione etc etc

questo pare essere un problema del protocollo GRE.. che router hai? supporta le vpn pass-trough? come lo hai configurato per le vpn pptpd?

conessione con putty = server unexpected error etc etc

non è che il tuo router/fw abbia anche lui un accesso ssh?

prova a mettere ssh su SME in ascolto su altra porta ed aggiusta il port-forward.. solo, naturalmente, dal router verso SME.. su SME non toccare nulla..

altrettanto naturalmente, devi abilitare ssh su SME per accettare connessioni da tutto il mondo

se con http tento di visualizzare il dominio l'errore e'
450 Connecting host started transmitting before SMTP greeting

quello che hai scritto non vuol dire nulla.. cosa ci azzecca smtp con http?

dulcis in fundo
i log dello sme non riportano un tubo per l'sshd solo il servizio in ascolto avviato ma niente di +.
il server funziona al 100 solo che resta inaccessibile
premetto che sul fw non ho fatto niente
Michele

se i log non riportano nulla nemmeno nel caso delle connessioni pptp allora il problema sta nel router/fw che:
- non forwarda
- non funziona
- non è configurato


a meno che tu non abbia lasciato a 0 il numero di client pptp che si possono connettere


prima di perdere ulteriormente tempo, da una macchina esterna alla rete, usa un servizio di scansione online (cercane uno, o se hai una macchina linux usa nmap) per vedere cosa è realmente aperto/in ascolto sulla tua rete

[MicSme]

ok

questo pare essere un problema del protocollo GRE.. che router hai? supporta le vpn pass-trough? come lo hai configurato per le vpn pptpd?

il router o modem che sia e' quello fornito dalla Telecom  per le adsl 7 mega l'alice gate 2 plus wifi (il pirellone non il dial face)

non è che il tuo router/fw abbia anche lui un accesso ssh?

non saprei in ogni caso ha una gestione di port forwarding dove ho girato tutto il traffico sulle sme
ricioe' la wan dello sme e' in classe con la lan del router il cui gw e' il 192.168.1.1
sme wan 192.168.1.2 con gw 192.168.1.1 appunto...la conessione e' permanenete quindi ho sceltoo questa strada.
Ho provato anche a disabilitare il fw del router (anche se il manule dice che il port forwarding poi
sega le regole del firewall) ma niente cmq.

prova a mettere ssh su SME in ascolto su altra porta ed aggiusta il port-forward.. solo, naturalmente, dal router verso SME.. su SME non toccare nulla..

aggiustare il port forward del router? ho capito bene ? ma io ho aperto tutto il traffico verso lo sme..
quindi anche la porta prescelta per ssh...

altrettanto naturalmente, devi abilitare ssh su SME per accettare connessioni da tutto il mondo

si si ho sistemato il server-manager a dovere come da how to ufficiale..

quello che hai scritto non vuol dire nulla.. cosa ci azzecca smtp con http?

intendevo dire che se sul browser digito http://miodominiodelpiffero.dydns.org viene fuori quel msg..

se i log non riportano nulla nemmeno nel caso delle connessioni pptp allora il problema sta nel router/fw che:
- non forwarda
- non funziona
- non è configurato


a meno che tu non abbia lasciato a 0 il numero di client pptp che si possono connettere

noooo ho messo 1


prima di perdere ulteriormente tempo, da una macchina esterna alla rete, usa un servizio di scansione online (cercane uno, o se hai una macchina linux usa nmap) per vedere cosa è realmente aperto/in ascolto sulla tua rete

verificato con
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=it&venid=sy

le porte desiderate sono spalancate

anche secondo il mio parere potrebbe essere quella ciofeca di router...e non posso neanche cambiarlo perche' mi gira sopra l'alice home tv...

Michele

[Stefano]

ahem.. Michele, per cortesia, usa il quoting in modo più.. giusto

devi quotare blocco per blocco scrivendo i tuoi commenti fuori, altrimenti non si capisce un tubo
ok?

vediamo

    il router o modem che sia e' quello fornito dalla Telecom  per le adsl 7 mega l'alice gate 2 plus wifi (il pirellone non il dial face)

che potrebbe non supportare le vpn pass-trough: le vpn pptp necessitano, oltre che della porta 1723 TCP, anche del protocollo 47 GRE.. è un protocollo, non una porta..

    non saprei in ogni caso ha una gestione di port forwarding dove ho girato tutto il traffico sulle sme
    ricioe' la wan dello sme e' in classe con la lan del router il cui gw e' il 192.168.1.1
    sme wan 192.168.1.2 con gw 192.168.1.1 appunto...la conessione e' permanenete quindi ho sceltoo questa strada.
    Ho provato anche a disabilitare il fw del router (anche se il manule dice che il port forwarding poi
    sega le regole del firewall) ma niente cmq.

quando hai forwardato lo hai fatto per tutti i protocolli, vero? (domanda accessoria, non serve nel nostro contesto)

    aggiustare il port forward del router? ho capito bene ? ma io ho aperto tutto il traffico verso lo sme..
    quindi anche la porta prescelta per ssh...

allora in tal caso metti su SME ssh in ascolto sulla porta (esempio) 4321 (lo fai da interfaccia web)

    si si ho sistemato il server-manager a dovere come da how to ufficiale..

perdonami, e cioè come? non è del server-manager che parliamo, ma del servizio ssh.. in "accesso remoto" ssh può accettare connessioni da tutto il mondo esterno?

    intendevo dire che se sul browser digito http://miodominiodelpiffero.dydns.org viene fuori quel msg..

cioè tu apri il browser (da fuori, vero? non da dentro la rete), chiedi un indirizzo http e ti risponde con un messaggio in cui compare smtp? per cortesia copia ed incolla qui il messaggio che ottieni

   

se i log non riportano nulla nemmeno nel caso delle connessioni pptp allora il problema sta nel router/fw che:
    - non forwarda
    - non funziona
    - non è configurato


    a meno che tu non abbia lasciato a 0 il numero di client pptp che si possono connettere

    noooo ho messo 1

e connettendoti da fuori in vpn ottieni qualcosa nei log?

se la risposta è NO, allora il tuo router o è andato oppure è configurato male

verificato con
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=it&venid=sy

le porte desiderate sono spalancate

anche secondo il mio parere potrebbe essere quella ciofeca di router...e non posso neanche cambiarlo perche' mi gira sopra l'alice home tv...

nella scansione che hai fatto (sempre da fuori la rete, vero?) compare la porta 4321? non dovrebbe.. sposta ssh su quella porta (o altra a tuo piacimento) e poi ripeti il test (sempre da fuori la tua rete).. se compare la porta "nuova" e sparisce la 22 allora sei a posto e prendiamo una strada, altrimenti significa che il router fa ....... (riempi i puntini come preferisci)

[MicSme]

ahem.. Michele, per cortesia, usa il quoting in modo più.. giusto

devi quotare blocco per blocco scrivendo i tuoi commenti fuori, altrimenti non si capisce un tubo
ok?

ci provo ma mi sento scassone anche in questo..

quando  hai forwardato lo hai fatto per tutti i protocolli, vero? (domanda accessoria, non serve nel nostro contesto)

confermo tutti

perdonami, e cioè come? non è del server-manager che parliamo, ma del servizio ssh.. in "accesso remoto" ssh può accettare connessioni da tutto il mondo esterno?

mi son spiegato malissimo volevo dire che ho abilitato l'accesso esterno per il servizio ssh dalla gestione remota del server manager..

cioè tu apri il browser (da fuori, vero? non da dentro la rete), chiedi un indirizzo http e ti risponde con un messaggio in cui compare smtp? per cortesia copia ed incolla qui il messaggio che ottieni   

450 Connecting host started transmitting before SMTP greeting

e connettendoti da fuori in vpn ottieni qualcosa nei log?

niente da fare non c'e' niente

cmq procedo con le prove che mi hai consigliato
altro fatto insipegabile
mi sono attaccato al router bypassando lo sme con con la classe della lan del router e riesco a pingare la wan dello sme ma non ad accedervi con ssh 

[Stefano]

michele, please.. edita il tuo ultimo post

il quote corretto è composto così:

]quote[
testo da quotare
]/quote[

naturalmente ho invertito le parentesi
in ogni caso, prima di spedire il messagio puoi fare un preview per vedere come viene..

quando hai sistemato vedo anche di capire cosa succede..

[MicSme]

ahem.. Michele, per cortesia, usa il quoting in modo più.. giusto

devi quotare blocco per blocco scrivendo i tuoi commenti fuori, altrimenti non si capisce un tubo
ok?

riprovo..

quando hai forwardato lo hai fatto per tutti i protocolli, vero? (domanda accessoria, non serve nel nostro contesto)

si tutte ..

perdonami, e cioè come? non è del server-manager che parliamo, ma del servizio ssh.. in "accesso remoto" ssh può accettare connessioni da tutto il mondo esterno?

mi sono spiegato male intendevo dire che ho impostato l'accesso ssh all'intera internet dall'interfaccia web

cioè tu apri il browser (da fuori, vero? non da dentro la rete), chiedi un indirizzo http e ti risponde con un messaggio in cui compare smtp? per cortesia copia ed incolla qui il messaggio che ottieni   

ottengo:
450 Connecting host started transmitting before SMTP greeting

e connettendoti da fuori in vpn ottieni qualcosa nei log?

niente di niente

nella scansione che hai fatto (sempre da fuori la rete, vero?)

la scansione l'ho lanciata dal portatile che ha come gw lo sme che ha come gw il router

cmq ho provato ad usare una porta libera sul router ho messo sul portatile la stessa classe ip
del router che corrisponde alla wan dello sme ed i problemi con la conessione si ripresentano
....in pratica lo sme funzia solo all'interno della lan ricioe:
wan sme 192.168.1.2 gw 192.168.1.1
lan sme 10.0.0.1  ---> portatile con il quale gestisco sme ip 10.0.0.2 con gw 10.0.0.1
ebbene dal portatile funzia nel senso che vedo il sito principale con il browser
il samba mi fa vedere le cartelle il mail server spedisce e riceve posta..tutto insomma
poi pero' quando si tenta di collegarsi addirittura dal router alla wan sme niente da fare...
boh:-(((

[Fumetto]

Io mi sono perso...

Direi di azzerare e ricominciare... troppe cose strane... non me ne volere... penso che ci sia qualcosa che non va...

...e mi preoccupo... devo andare a fare un lavoretto in un posto dove c'è un router Telecom, e in effetti se ha ragione Stefano con la sfera di cristallo e non gestisce GRE sono c@zzi... bisogna cambiare router...

[pepz]

a me e' capitato un pirelli senza GRE , allora ho tentato ugualmente la configurazione della vpn, e ti posso dire che in quel caso, la  vpn funzionava facendo il forward della sola porta tcp 1723

Da locale, riesci a instradare la vpn ?

[Stefano]

riprovo..

ottimo, alla fine ci siamo

ottengo:
450 Connecting host started transmitting before SMTP greeting

direi che c'è certamente qualcosa di strano.. un messaggio del genere non ha alcun senso in una sessione http

la scansione l'ho lanciata dal portatile che ha come gw lo sme che ha come gw il router

biiiiiiip! risposta errata.. fai così: metti il portatile collegato con un cross alla porta wan di SME con un indirizzo compatibile, poi fai la scansione da li, mettendo come target l'ip wan di SME.. se il portatile ha windows, come suppongo, procurati un programma in grado di fare scansioni di rete.. in questa pagina ne trovi di freeware, scegline uno (del sito mi fido, lo uso da anni)
se invece sul portatile hai una qualsiasi versione di linux, installa nmap e dai

Code: [Select]

nmap -v -P0 ip_wan_SME


cmq ho provato ad usare una porta libera sul router ho messo sul portatile la stessa classe ip
del router che corrisponde alla wan dello sme ed i problemi con la conessione si ripresentano
....in pratica lo sme funzia solo all'interno della lan ricioe:
wan sme 192.168.1.2 gw 192.168.1.1
lan sme 10.0.0.1  ---> portatile con il quale gestisco sme ip 10.0.0.2 con gw 10.0.0.1
ebbene dal portatile funzia nel senso che vedo il sito principale con il browser
il samba mi fa vedere le cartelle il mail server spedisce e riceve posta..tutto insomma
poi pero' quando si tenta di collegarsi addirittura dal router alla wan sme niente da fare...
boh:-(((

intanto definiamo se il problema è SME e perchè.. ah, naturalmente su SME NON hai fatto alcun port-forward, vero?

ev. contattami su skype o msn

[Stefano]

a me e' capitato un pirelli senza GRE , allora ho tentato ugualmente la configurazione della vpn, e ti posso dire che in quel caso, la  vpn funzionava facendo il forward della sola porta tcp 1723

in questo caso il router supporta le vpn pass-trough, cioè forwardando la 1723 TCP fa passare in automatico il GRE.. ce ne sono altri (testato personalmente con un collega) che invece non lo fanno (che il buon Dio li fulmini)

[pepz]

ce ne sono altri (testato personalmente con un collega) che invece non lo fanno

sicuramente sono di + i router che necessitano del protocollo GRE per utilizzare pptp, ho segnalato il pirelli come funzionante, perche' mi sembra quello utilizzato per le prove....
Ma ora non ne sono + cosi sicuro.... questo 3ad e' diventato un casino...   
 

[MicSme]

a me e' capitato un pirelli senza GRE , allora ho tentato ugualmente la configurazione della vpn, e ti posso dire che in quel caso, la  vpn funzionava facendo il forward della sola porta tcp 1723
Da locale, riesci a instradare la vpn ?

si ci riesco alla grande

intanto definiamo se il problema è SME e perchè.. ah, naturalmente su SME NON hai fatto alcun port-forward, vero?

solo la 25 per il mail server (ho forwardato tutto(1-65000) tcp sulla 25 dello sme)

ciao Michele