Logo HamachiAbbiamo recentemente effettuato l'upgrade della rete di un cliente, ed abbiamo sostituito Endian Firewall con pfSense. Sebbene preferissimo usare il primo prodotto, anche perché italiano, ci siamo purtroppo spesso trovati in difficoltà con la versione Community, poco aggiornata e con seri bug di utilizzo mai sistemati. Ad oggi quindi prediligiamo usare la distro firewall basata su BSD, che risulta molto stabile, con un bacino di utenti molto ampio ed un forum di supporto molto attivo.

Nel passaggio al nuovo firewall ci siamo però scontrati con un problema: Hamachi aveva smesso di funzionare correttamente.

Hamachi è un software per la creazione di VPN private molto semplice da installare. La sua semplicità di utilizzo e di configurazione (nulla) lo rende molto comodo da utilizzare per l'accesso ad appliance remote dove il cliente ha poca o bassa dimestichezza con la rete.

Il software crea una connessione iniziale con i suoi server, per poi creare una connessione Peer to Peer tra gli host appartenenti alla rete privata selezionata. Il passaggio al P2P con protocollo UDP avviene quando Hamachi è in grado di stabilire la connessione UDP tra gli host, altrimenti il funzionamento passa in modalità relayed su una connessione TCP appoggiata ai server di LogMeIn. Ovviamente quest'ultima modalità è molto meno performante e spesso totalmente inaffidabile.

Il problema in questo caso sta in una funzione di pfSense, in particolare la riscrittura delle porte UDP in uscita. Come spiega la pagina dedicata, la porta di uscita dei pacchetti viene sempre riscritta con pfSense. Questo perché molti sistemi operativi non effettuano un lavoro egregio nella casualizzazioen delle porte UDP, facilitando lo spoofing degli indirizzi IP ed il riconoscimento dei PC della LAN mediante l'analisi del traffico in uscita.

Questa riscrittura non va però daccordo con alcuni servizi, tra cui SIP, IPSec ed evidentemente Hamachi.

Per risolvere collegarsi all'interfaccia web di pfSense, quindi Firewall > NAT > Outbound. Selezionare l'opzione per la creazione manuale delle regole in uscita (Manual Outbound NAT rule generation in inglese). Dopo aver premuto il pulsante di salvataggio al caricamento della pagina ci troveremo delle regole già create automaticamente.

Quella che ci interessa ha descrizione Auto created rule for LAN to WAN. Questa regola avrà come rete sorgente quella della LAN gestita da pfSense. Premere il pulsante di copia della regola, definire per quale host sorgente o porta di destinazione dobbiamo disabilitare la riscrittura delle porte, quindi andare nella sezione Translation e abilitare la spunta Static-Port. Premere il pulsante di salvataggio, applicare le regole e Hamachi dovrebbe essere tornato a funzionare in modalità P2P.

In alternativa, se Hamachi è usato su diverse postazioni o su postazioni in DHCP, invece che clonare la regola è possibile modificarla ed abilitare la checkbox su quella, di fatto disabilitando la riscrittura per tutti gli host della LAN.

We use cookies to improve our website and your experience when using it. Cookies used for the essential operation of this site have already been set. To find out more about the cookies we use and how to delete them, see our privacy policy.

  I accept cookies from this site.
EU Cookie Directive Module Information