Topic: Bridge Interface

[simone686]

Salve a tutti...normalmente utilizzo Softethervpn-server come vpn...l'altro giorno un server è diventato irraggiungibile e facendo digitare al cliente dei comandi per controllare, ho visto che l'indirizzo IP si è impostato sull'interfaccia br0.
Così facendo il server non è accessibile nè con ssh ne dalla rete. Dall'interfaccia http invece accedo.
Come posso ripristinare la rete per poterla raggiungere ?

Grazie

[Jean-Philippe Pialasse]

softhernet requires the bridge interface as openvpn-bridge does. 

the bridge interface take the place of the lan interface.  so you need to have a server-gateway configuration.

you might have seen that https is not available on external interface because softethernet uses this port for one of the type of vpn it provides.  if your requires https acces from outside to your server then  you either need to disable softethernet vpn on 443 or choose a different vpn (openvpn-bridge or routed, wireguard, libreswan..)

[simone686]

Grazie per la risposta..

io uso softethernet in server-only mode..ho seguito la guida..

Adesso è la seconda volta che mi succede di rimanere chiuso fuori dallo sme in questo modo. Accesso SMB, ssh non possibile. http si ma sembra che le modifiche non abbiano effetto visto che non posso provarle e quelle relative all'acesso ssh non funzionano.

Sarebbe interessante sapere come fare per ripristinare la rete allo stato originale, senza vpn o simili.
Adesso se faccio ifconfig da console ho queste interfacce:

br0  enp50 lo tap0 tap_soft...

[ReetP]

so you need to have a server-gateway configuration.

FWIW the docs do refer to Server only mode. Is this an issue with the docs?

https://wiki.koozali.org/SoftEther_VPN#Server_Only_Mode

[Jean-Philippe Pialasse]

the how to is outdated and the contrib does NOT support server-only as we can not guaranty how the routing, portforwarding and  filtering of other LAN addressing could be handled with a third party gateway/firewall.

[simone686]

Ho una decina di macchine in giro configurate così.....cosa mi consigli di fare ?
Alcune sono vicine...ma altre sono a 100Km di distanza...

[Fumetto]

Direi che sono tutte da riconfigurare se è giusta l'affermazione

the contrib does NOT support server-only

e non ho dubbi che l'affermazione è giusta per via della fonte da cui arriva... 

[simone686]

Si ci mancherebbe....cercavo di capire come fare....rimuovere il contrib softethervpn e/o dare un riconfigura da console non ha risolto nulla....

[Fumetto]

Io, al posto tuo, eliminerei il contrib e sfrutterei un altro "sistema" per fare VPN. Dipende dalle necessità e dalle disponibilità

[simone686]

Si...avevo già iniziato la migrazione su proxmox..con sme...e vpn su Rocky Linux..speriamo bene...

[Stefano]

A mio parere dipende sempre da che uso devi fare della vpn.

Se ti serve una "testa di ponte" dal cliente per accedere a varie macchine, allora la vpn è una scelta obbligata.
se l'infrastruttura prevede un firewall lascerei a quest'ultimo fare da endpoint per la vpn

se invece ti serve solo per accedere al server e/o altri server con ssh a bordo, allora ssh con key sulla macchina target (anche non SME) e da li lavori.
Eventualmente puoi anche usare il reverse tunnel di ssh per esportarti una sessione RDP di una macchina interna (ovviamente prima ti connetti in ssh con chiave, abiliti il reverse tunnel e solo dopo ti connetti in RDP)

Per i client, a meno di restrizioni particolari, anydesk

Altra alternativa senza toccare SME ma con l'obbligo comunque di avere una macchina ponte dal cliente (anche un nas o un router con openwrt) è Zerotier (www.zerotier.com) che ti permette di avere una rete tua di dispositivi comunque geograficamente distribuiti

[simone686]

Ragazzi grazie per le risposte..ma a me server capire se e come si può rimuovere in sicurezza softethervpn e come fare.

Uninstall
yum remove smeserver-softethervpn-server  softethervpn-server
config delprop httpd-e-smith httpsOnlyLocal
signal-event remoteaccess-update

Facendo così mi rimangono i bridge e la rete da fuori verso sme rimane inaccessibile.
Mi piacerebbe sapere come resettare completamente la rete al limite..

[Stefano]

farei ponte su una macchina interna con un anydesk, ssh verso il server e poi provvederei a riconfigurare la macchina con

Code: [Select]

console


[simone686]

Si ho provato...ma non funziona....ssh verso lo sme  e samba non accedono...in http entro...utenti e condivise sono al loro posto. Modificando la sezione accesso remoto niente...

[Stefano]

posta il risultato di

Code: [Select]

/sbin/e-smith/audittools/templates

netstat -i

brctl show
prova, ma devi essere in console sulla macchina (potresti perdere la configurazione di rete e quindi rimanere fuori)

Code: [Select]

ip link set br0 down
brctl delbr br0