Mi appresto a descrivere come realizzare una vpn lan-to-lan per mezzo del protocollo pptp che dd-wrt mette a disposizione sia come client che come server.
Le prove sono state eseguite con una Fonera 2100 e un Linksys wrt54gl. La fonera è stata configurata come client pptp per accedere al Linksys wrt54gl configurato come server. Di seguito la descrizione delle due reti e delle versioni di dd-wrt installate sui router:
Rete A:
- Indirizzo di rete: 192.168.1.0/24
- Indirizzo ip della Fonera: 192.168.1.240
- Versione dd-wrt utilizzata: v24-sp1 (07/26/08) std – SVN revision: 9994
Rete B:
- Indirizzo di rete: 192.168.50.0/24
- Indirizzo ip del Linksys wrt54gl: 192.168.50.254
- Versione dd-wrt utilizzata: v24 (05/24/08) mini – SVN revision: 9525
Configurazione Liksys wrt54gl come server PPTP
Attiviamo il server pptp del linksys andando nel pannello di controllo di dd-wrt nel menu Serices/PPTP, nella sezione PPTP Server.
Qui impostiamo l’indirizzo ip con cui verrà visto il router dal client (fonera) che instaurerà la connessione: nel mio caso ho scelto 192.168.100.254.
Indichiamo l’intervallo di indirizzi da assegnare ai possibili client che si connettono al server (in realtà in questo caso non viene assegnato nessun indirizzo ip al router client (fonera) ma viene mantenuto quello dello della lan e su questo viene creata un connessione puno-punto come vedremo in seguito): nel mio caso ho scelto il range tra 192.168.100.100 a 192.168.100.120.
Come ultimo parametro non rimane che indicare l’utente e la password da utilizzare per fare autenticare il client, che va inserito in questa forma:
username * password *
Nel mio caso l’utente è david e la password è 123456789.
Una volta salvato e applicato le modifiche il server pptp si metterà in ascolto per eventuali connesioni da parte dei client.
Configurazione della Fonera 2100 come client PPTP
La configurazione di dd-wrt come client pptp avviene similmente alla sezione precedente, inserendo gli appositi parametri nella sezione Client PPTP raggiungibile dal menu Services/PPTP dell’interfaccia web.
Quindi sulla Fonera andranno inseriti l’indirizzo ip o l’hostname pubblico con cui è possibile raggiungere il rotuter che funge da server pptp (Linksys wrt54gl), nell’immagine non lo vedete per motivi di riservatezza. Successivamente inseriamo la subnet/netmask della rete che vogliamo raggiungere che sta dietro al Linksys (192.168.50.0/255.255.255.0). Indichiamo se le richieste verso la vpn devono essere nattate o meno e in fine inseriamo l’utente e password con cui autenticarsi sul router che funziona da server pptp (Linksys).
Una volta salvate e applicate le modifiche il router proverà immediatamente a instaurare la connessione pptp e questo avverra anche ad ogni avvio della Fonera.
A livello di sistema la vpn viene vista come due interfacce di rete punto-punto, una per ogni router. Infatti se tutto è enadato ok potremo notare che digitando il comando ifconfig (da lina di comando dopo essersi precedentemente connessi con ssh/telnet) tra le interfacce visualizzate è presente una denominata ppp0:
Linksys wrt54gl:
ppp0 Link encap:Point-to-Point Protocol inet addr:192.168.100.254 P-t-P:192.168.1.240 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1450 Metric:1 RX packets:1769 errors:0 dropped:0 overruns:0 frame:0 TX packets:1550 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:1868097 (1.7 MiB) TX bytes:130694 (127.6 KiB)
Fonera 2100:
ppp0 Link encap:Point-to-Point Protocol inet addr:192.168.1.240 P-t-P:192.168.100.254 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1450 Metric:1 RX packets:3242 errors:0 dropped:0 overruns:0 frame:0 TX packets:3502 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:365911 (357.3 KiB) TX bytes:2460804 (2.3 MiB)
Rifiniture
Possiamo testare l’effettivo funzionamento della vpn eseguendo un ping da un qualsiasi host della rete 192.168.1.0/24 verso il router Linksys 192.168.50.254 o qualsiasi altro host appartenente alla rete 192.168.50.0/24. Purtroppo però non è vero il contrario, ovvero se proviamo a eseguire un ping da un host della rete 192.168.50.0/24 verso uno della 192.168.1.0/24 questo non funziona perchè sul router che fa da server pptp (Linksys) manca l’apposita regola di routing. Infatti se sul Linksys wrt54gl impartiamo il comando route add -net 192.168.1.0/24 gw 192.168.100.254 vedremo che il ping inizierà a funzionare.
Con il comando precedentemente indicato andiamo a dire al Linksys che per raggiungere la rete 192.168.1.0/24 deve passare dal router con indirizzo 192.168.100.254, ovvero quello con cui viene visto Linksys nella connessione punto-punto della vpn.
Passiamo ora ad automatizzare l’inserimento della regola di routing nel momento in cui viene connessa la vpn. Dobbiamo sapere che nel momento del boot di un router configurato come server pptp viene creato una serie di script nella directory /tmp/pptpd che vengono lanciati per instaurare la vpn, tra questi ne è presente uno che si chiama ip-up, il quale viene lanciato appena dopo la creazione dell’interfaccia punto-punto ppp0 ed è utilizzato per impostare alcune regole sul firewall. Nella mia configurazione il file si presenta con il seguente contenuto:
#!/bin/sh /sbin/startservice set_routes /usr/sbin/iptables -I FORWARD -i $1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1353: -j TCPMSS --set-mss 1352 /usr/sbin/iptables -I INPUT -i $1 -j ACCEPT /usr/sbin/iptables -I FORWARD -i $1 -j ACCEPT
Allo script vengono passati i seguenti parametri:
- $1 = nome dell’interfaccia punto-punto (ppp0)
- $2 = device a livello di sistema che identifica il tunnel punto-punto (/dev/pts/1)
- $3 = velocita di baudrate della connessine (115200)
- $4 = indirizzo ip locale della connessione punto-punto (192.168.100.254)
- $5 = indirizzo ip remoto della connessione punto-punto (192.168.1.240)
- $6 = indirizzo ip pubblico del router che si collega come client
Quello che faremo è inserire il comando che crea la regola di route, dove volendo potrà essere discriminato a piacere per mezzo di un qualsiasi degli argomenti passati. Nel mio caso ho deciso di creare la regola solo se l’indirizzo remoto ($5) è 192.168.1.240. Queste sono le linee cho ho accodato al file /tmp/pptpd/ip-up:
if [ "$5" == "192.168.1.240" ]; then route add -net 192.168.1.0/24 gw 192.168.100.254 fi
Purtroppo però il file in questione è residente su un filesystem volatile, questo vuol dire che allo spengimento del router non esisterà più e verrà rigenerato in fase di boot, quindi tutte le modifiche che abbiamo apportato andranno perse. Per ovviare a questo problema possiamo fare inserire la nosta modifica con un comando echo da dd-wrt proprio in fase di boot. Lo facciamo inserendo il comando
echo -e "if [ \"\$5\" == \"192.168.1.240\" ]; then\nroute add -net 192.168.1.0/24 gw 192.168.100.254\nfi" >> /tmp/pptpd/ip-up
nella videata raggiungibile dal menu Ammunistrazione/Comandi del router Linksys e premendo il pulsante Salva Startup.
Ultimo appunto per quanto riguarda il router che funziona da client pptp (Fonera). Inquesto è presente lo script /tmp/pptpd_client/vpn che serve per avviare (/tmp/pptpd_client/vpn start) o fermare (/tmp/pptpd_client/vpn stop) la connessione vpn. Quando allo script viene passato il parametro start viene avviata la vpn se non è già attiva. In caso di caduta della vpn possiamo inserire il comando in un’apposito crontab in modo che questa venga ritirata su in automatico. Ho inserito la seguente stringa nel crontab (dalla sezione Cron raggiungibile dal menu Amministrazione/Gestione) che tenta di fare partire la vpn ogni cinque minuti:
0-59/5 * * * * root /tmp/pptpd_client/vpn start
cazzarola ho seguito alla lettera tuttue le indicazioni ma non funziona nulla…se come client uso quello di microsoft funziona con il client del ddwrt nulla da fare !!
Ciao Alessio, puoi essere un po più chiaro? Cosa non funziona?
Hai verificato se viene creata l’interfaccia ppp0 sui due router. Ha provato a fare dei ping per diagnosticare il problema?
Ciao.Grazie per la risposta.Si la connessione ppp0 in teria viene creata.Ho provato a collegarmi ai due router in telnet e lanciando il comnado ifconfig.Nel router che fa da server compare la connessione ppp0 come quelle da te mostrate in figura.Sul router che fa da client compare stranamente una ppp0 e una ppp1.Non capisco perchè.Se provo a pingare una pc dalla parte del router server e vicevera non funziona nulla.Non riesco a raggiungere nessuno dei pc in nessuna delle due reti.Se invece provo a collegarmi al router server con il client software dei windows xp riesco a raggiungere il web server del mio fax/multifunzione.Posso pingare il fax e uno dei pc della rete.Se provo a pingare da uno dei pc della rete router server non funziona.Queso pero’ è dovuto solo alla mancanza delle route statiche probabilmente.Qunado lancio la connessione del client di windows xp si collega immediatamente.L’unica cosa strana è che vengo avvertito che c’e’ un errore nei protocolli usati poiche’ ipx/spx o compatibile cp hanno restituito l’errore 733.Purtroppo l’ideale e’ riuscire a realizzare la connessione vpn solo con i router.Ho cercato altre guide ma per il moemnto non sono riuscito a trovare molto.Puoi in qualche modo aiutarmi o provare a darmi qualche dritta ? grazie moltissimo
Ciao scusa …dimenticavo una cosa.Sto usando come router un linksys wrt54gl sul quale ho installato il firmware ver DD-WRT v24-sp2 (10/10/09) mini
(SVN revision 13064), che uso come server
Ed un router TL-WR941ND con installato firmware ver DD-WRT v24-sp2 (11/21/10) std
(SVN revision 15778)
Mia mail flaiale@gmail.com oppure account skype : aleflai
ciao grazie ancora
@Alessio
Ti ho scritto un privato.
Ciao.
Ciao e grazie per la splendida guida.
dopo essermi scervellato per giorni con questa guida riesco a vedere un po di luce.
Segui sempre il forum?
Posso farti alcune domende?
grazie
@enrico
ciao a dir la verità non ho piu’ seguito i post della guida.Che ti serve sapere ??
Ciao @enrico non ho più questa configurazione attiva, ma se ti posso essere utile ti aiuto con piacere.
Mah io sono circa due settimane che mi scervello e va a tratti: A volte penso che sia solo un problema di lentezza della rete client:
Io ho 2 router uguali due TP-Link TL-WR1043ND entrambi con Firmware: DD-WRT v24-sp2 (12/31/12) std
1) Il server 192.168.1.1 gira PPTP SERVER
PPTP Server Enable
Broadcast support Disable
MPPE Encryption Enable
DNS1
DNS2
WINS1
WINS2
MTU 1450
MRU1450
Server IP 192.168.1.3
Client IP(s) 192.168.1.201-210
Max Associated Clients 64
Cheap secrets tutto a posto xxx * yyy *
Sul command startup del server gira:
nvram set routes=’route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1′
2 il client 192.168.2.2 gira PPTP Client
Options
Server IP or DNS Name 81.164.19.114
Remote Subnet… 192.168.1.0
Remote Subnet Mask… 255.255.255.0
MPPE Encryption mppe required
MTU 1450
MRU 1450
NAT Enable
Username xxx
Password yyy
Sul cron del client gira
0-59/5 * * * * root /tmp/pptpd_client/vpn start
eppure non riesco a farlo funzionare in modo fluido: vedi degli sbagli?
Ah dimenticavo Mia mail bagnolienrico@gmail.com oppure account skype : aleflai
@enrico
Ciao Enrico,
da quello che vedo sembrerebbe tutto ok.
Non posso fare prove sul campo perché non ho più questa configurazione attiva.
correggo mia mail bagnolienrico@gmail.com oppure account skype : ebagnoli
Ci sono dei test oltre ping e ifconfig per capire se tutto va bene ed è solo una questione di velocità di internet?
Ciao,
grazie per la gentile risposta.
Con ifconfig vedo montati i ppp in entrambe le macchine, ma non pingano.
Se metto le due macchine sotto un router che ho 192.168.0.1 va tutto bene,
Spostandolo a casa del vicino non va più….
qualche idea?