Ciao,

la rete aziendale ha la forma 192.168.1.x.
e un altro troncone la 192.168.2.x

E' stato attivato un collegamento VPN per chi si trovasse all esterno con i portatili, a casa, etc...
Attivato credo su Windows2003Server.

Succede però che chi si trova GIA su una rete 192.168.1.x (per esempio quella di casa al 99% ha questa forma, oppure un altra rete aziendale..) e volesse collegarsi alla nostra, avrà un grosso problema di visibilità.
In quanto le due serie di IP coincideranno.
La VPN permetterà l'autenticazione.
Ma l'utente NON vedrà assolutamente NIENTE della rete 192.168.1.x ( o omonima)..
Solo la 192.168.2.x sarà visibile.


La domanda quindi sorge spontanea... Come posso risolvere questo piccolo difetto??

1. cambio tutte le reti del mondo? No
2. cambio la mia rete? No
3. Che altro?

non ho capito se puoi risolvere con una route statica o meno..
eheh... ho capito il problema, ma non ho afferrato come tu voglia risolverlo...

non ho capito se puoi risolvere con una route statica o meno..
eheh... ho capito il problema, ma non ho afferrato come tu voglia risolverlo...

è non lo so.. lo chiedo.

ho addirittura pensato di creare un ambiente virtuale che gira sopra un server (vmware) e mi crea autenticazioni e indirizzi completamente nuovi.... e diversi da quelli della rete che si sovrappone.

Se la VPN è es 10.0.0.0/4 poco importa chi si trova su quale rete, una volta entrato nella vpn l'host dovrà andare su quella rete (ovviamente con l'interfaccia vpn, non con quella "fisica").

Se vuoi fare un tunnel tra più reti... devi per forza avere reti diverse da "routare", altrimenti chettirouti? Quindi o cambi le reti del mondo o cambi la tua rete. Oppure usi il sistema del "roadwarrior" (tunnel tra rete e ogni singolo host): chi si collega da casa o dall'esterno della sede non credo abbia bisogno di salire in vpn con tutta la sua rete - che non è neanche troppo bello dal punto di vista della sicurezza - ma userà il suo bel client vpn sul pc, si collegherà al tuo gateway vpn via isdn/modem/adsl/ecc. per l'autnenticazione, il gateway gli darà un ip in dhcp per la vpn e via. Sarà poi il gateway a gestire il routing tra la 192.168.1.0/24 dell'azienda e la 10.0.0.0/4 della vpn. Ma se hai 192.168.1.0 sia a destra che a sinistra, la vedo dura...

io vedo questo....

rete aziendale 192.168.1.x e 192.168.2.x.

rete casalinga 192.168.1.x


nella rete aziendale 192.168.1.3 è il server per l'autirzzazione VPN.

nella rete casalinga io ho un portatile e sono in wifi.



creo un collegamento VPN con il tool di WindowsXP...
semplicemente do l'ip pubblico del firewall che mi girerà la richiesta di VPN al server 192.168.1.3.
Questo server mi autenticherà perfettamente.
E il dhcp server mi darà un nuovo IP.

Benissimo.

In questa situazione però se io tento di raggiungere qualsiasi postazione 192.168.1.x sarà SEMPRE E SOLO una postazione DELLA MIA RETE casalinga.
SOLO le postazioni 192.168.2.x saranno raggiungibili della rete aziendale.

Non posso cambiare la mia rete.
Non posso cambiare le reti in tutto il mondo.

Posso però configurare il VPN in qualche altra maniera PENSO...

Sì, avevo capito.. ma per fare come dici devi avere reti (o subnet) diverse sui due lati della vpn. Tu in pratica vuoi fare con un roadwarrior quello che dovrebbe fare un tunnel rete-rete, ma non credo si possa fare. O almeno non senza disattivare l'interfaccia LAN del client "casalingo" dalla rete domestica in caso di connessione alla vpn. Anche ammesso di riuscire a fissare una route statica verso il vpn per 192.168.1.0/24, questa escluderebbe il resto della rete di casa.

Potresti invece unire alla rete vpn gli host della lan che ti interessano, il "server" o "autenticatore" vpn devi pensarlo più come un gateway o un router...

es.
PC aziendale:
int. LAN 192.168.1.56
int. VPN 10.0.1.56
|
|
Gateway aziendale
int LAN 192.168.1.3
int VPN 10.0.1.3
|
|
PC casa:
int LAN 192.168.1.56 (può anche essere uguale ad uno sulla lan aziendale)
int VPN 10.0.1.101 (in dhcp, fisso, come vuoi...)

In questo modo sono tutti su 10.qualcosa e sulle rispettive 192.168.1.qualcosa. E chiaramente le richieste per la VPN verranno fatte sulla 10.qualcosa. Forse era questo che intendevi per "virtualizzazione"...

Non so se sono stato un po' più chiaro di prima... :) Poi se esiste qualche "magia" di windows sarei curioso anch'io di conoscerla.

oh, sarò tonto... ma non capisco il problema.

spiega meglio quali ip sono delle lan e della vpn

Il problema è che lui sta tentando di collegare la stessa rete ai due lati del tunnel:

a) casa sua: 192.168.1.0/24
b) azienda 1: 192.168.1.0/24
c) azienda 2: 192.168.2.0/24

Tra A e C gli funziona (giustamente...), tra A e B no (altrettanto giustamente...). IMHO tra A e B così come la vuole non può funzionargli a meno di:

- non avere una route apposita per 192.168.1.0/24 che comunque escluderebbe la sua rete di casa.
- mettere la vpn su un'altra rete completamente diversa (io ho detto 10.0.0.0/4 ...) e fare entrare su quella sia gli aziendali che gli esterni.

Io opterei per la seconda, però ammetto di non averci nemmeno mai pensato a fare una roba del genere... dovrebbe fare un bridge su vpn... si può?!?! :mbe:

ah... ok.

devon per forza esser su 2 reti divise

Il problema è che lui sta tentando di collegare la stessa rete ai due lati del tunnel:

a) casa sua: 192.168.1.0/24
b) azienda 1: 192.168.1.0/24
c) azienda 2: 192.168.2.0/24

Tra A e C gli funziona (giustamente...), tra A e B no (altrettanto giustamente...). IMHO tra A e B così come la vuole non può funzionargli a meno di:

- non avere una route apposita per 192.168.1.0/24 che comunque escluderebbe la sua rete di casa.
- mettere la vpn su un'altra rete completamente diversa (io ho detto 10.0.0.0/4 ...) e fare entrare su quella sia gli aziendali che gli esterni.

Io opterei per la seconda, però ammetto di non averci nemmeno mai pensato a fare una roba del genere... dovrebbe fare un bridge su vpn... si può?!?! :mbe:


appunto.. io teorizzavo una sorta di VPN su un altra rete...
Prendete per esempio il discorso VMWARE...
Automaticamente puoi gestire un bridge.
E installare un sistema operativo Win2003srv su una rete "virtuale" (quella di VMWARE) che gestisce appunto la VPN.
Sarà poi questo ambiente virtuale a girare le richieste sulla rete aziendale vera e propria.

Solo un difetto adesso che sto scrivendo... che torniamo sempre al punto di partenza.. quando per esempio indico la risorsa 192.168.1.x
Questa sarà sulla mia rete casalinga oppure sulla rete aziendale??

ops

Mah... di solito una VPN ben fatta ha una scheda di rete virtuale che prende l'IP dal server di autanticazione VPN e tutto il traffico passa di li... infatti, se c'è la VPN attiva e si prova a navigare non si riesce (a meno di non passare per l'altro gateway)....
Almeno... noi in azienda abbiamo Cisco e si comporta così....

Mah... di solito una VPN ben fatta ha una scheda di rete virtuale che prende l'IP dal server di autanticazione VPN e tutto il traffico passa di li... infatti, se c'è la VPN attiva e si prova a navigare non si riesce (a meno di non passare per l'altro gateway)....
Almeno... noi in azienda abbiamo Cisco e si comporta così....


quindi ti "elimina" la rete di partenza... quella di casa.

Per me va benissimo così.

Va benissimo che in caso di sovrapposizione sia la rete aziendale a comandare e a far girare il traffico sul proprio gateway. (al pc che si collega dalla rete casalinga, le quali risorse saranno inibite).

quindi ti "elimina" la rete di partenza... quella di casa.

Per me va benissimo così.

Va benissimo che in caso di sovrapposizione sia la rete aziendale a comandare e a far girare il traffico sul proprio gateway. (al pc che si collega dalla rete casalinga, le quali risorse saranno inibite).

Si... ma ripeto... questo è il funzionamento Cisco.... anche se dovrebbe essere sempre così....

Si... ma ripeto... questo è il funzionamento Cisco.... anche se dovrebbe essere sempre così....

Cosa intendi per funzionamento "cisco"? comunque io faccio vpn tutti i giorni e quasi tutti non vogliono usare il gateway sulla rete remota.

A parte che anche con il pptp MS puoi benissimo scegliere di usare il gateway sulla rete remota..

Io farei così: sul collegamento vpn imposti di assegnare ai client una classe del tutto diversa (non una subnet della rete aziendale)
Sul pc configuri le route statiche per raggingere gli indirizzi che ti interessano di quella rete attraverso la vpn.
Oppure assegni al tuo pc una subnet puì stretta di /24..

Cosa intendi per funzionamento "cisco"?

La Cisco ha un client da installare sul PC che ti crea una scheda di rete chiamata "Cisco VPN Adapter". Quest'ultima si mette in collegamento con il router Cisco.

quasi tutti non vogliono usare il gateway sulla rete remota.

Perchè non ha senso... o meglio non ha senso dovere usare il gateway.... la VPN è fatta per collegarsi in azienda e lavorare, non per navigare....

O lavori, o navighi (e allora scolleghi la VPN)

La Cisco ha un client da installare sul PC che ti crea una scheda di rete chiamata "Cisco VPN Adapter". Quest'ultima si mette in collegamento con il router Cisco.

Praticamente tutti i sistemi funzionano così e comunque anche con il client cisco puoi usare il default gateway come vuoi


Perchè non ha senso... o meglio non ha senso dovere usare il gateway.... la VPN è fatta per collegarsi in azienda e lavorare, non per navigare....

O lavori, o navighi (e allora scolleghi la VPN)

oppure devi inviare la posta e il server non è in quella rete;)

Praticamente tutti i sistemi funzionano così e comunque anche con il client cisco puoi usare il default gateway come vuoi

Il client Cisco di default esclude il gateway locale....

Quasi tutti, ma chi è che configura una vpn di default?
Sui cisco le impostazioni del client vengono date dalla configurazione del router o del firewall, quindi è solo più semplice fare in modo che i client siano configurati secondo i criteri delle policy aziendali.
Il client cisco è molto restrittivo nel senso che in un sistema windows "prende il sopravvento", ma occhio a non aver installato software che vada in conflitto con lui..

Comunque il punto non è questo, il gateway non ti serve per raggiungere gli indirizzi locali.
Se hai due reti uguali non hai una configurazione fatta bene, anche ammesso di volerla far funzionare lo stesso cambiando routes e metriche

Quasi tutti, ma chi è che configura una vpn di default?

Cosa vuol dire di default.... se non la attivi non succede niente....

Se hai due reti uguali non hai una configurazione fatta bene, anche ammesso di volerla far funzionare lo stesso cambiando routes e metriche

Due reti uguali ma su schede diverse, di cui una prioritaria.

appunto.. io teorizzavo una sorta di VPN su un altra rete...

Una VPN è per definizione "un'altra rete". La puoi usare da "tunnel" per unire due reti diverse o usarla come rete a sè stante, ma comunque è separata dalle altre dal livello ip in avanti.


Automaticamente puoi gestire un bridge.

Sì, ma un bridge è a livello 2, una vpn a livello 3/4. IMHO una volta stabilito il tunnel è meglio routare il traffico dal gateway (perdonatemi, il "server VPN" io lo chiamo "gateway" perchè è più un gateway che un server) invece che mettere un bridge.


E installare un sistema operativo Win2003srv su una rete "virtuale" (quella di VMWARE) che gestisce appunto la VPN.
Io conosco le vpn Ipsec (Freeswan, Racoon, ecc.) e OpenVPN, ma credo che i principi si applichino a Cisco, Windows ed a qualsiasi host IPv4. Non credo ci sia bisogno di installare un sistema a parte, al massimo ti serve un ip in più sulla scheda di rete del gateway o una scheda di rete in più sulla quale "bindare" l'ip della vpn. Come per il client Cisco citato da as10640 ci deve essere un'adattatore "virtuale" che per il sistema è pari ad una scheda di rete reale. Ci sarà di sicuro il modo di installarlo su 2003, anzi, dovrebbe "salire" già solo per il fatto che il server accetta l'autenticazione. Se non c'è glielo metti "fisico" ;)

Il problema della tua configurazione è il routing. Con la vpn hai sempre un router (inteso come "dispositivo" non necessariamente fisico, può esserlo anche il "server VPN") che smista tra le due reti. Non puoi avere la stessa rete "seprata" da un router. E ci metterei anche un "punto e basta". :D

Solo un difetto adesso che sto scrivendo... che torniamo sempre al punto di partenza.. quando per esempio indico la risorsa 192.168.1.x
Questa sarà sulla mia rete casalinga oppure sulla rete aziendale??

Dipende dal routing impostato sull'host. Se hai la scheda di rete locale su quella rete, finirai su quella di casa. Se la disattivi e attivi la VPN andrai verso l'ufficio. Bisogna poi vedere se le macchine dietro il server VPN dell'ufficio riescono a vederti (se io fossi il server dell'ufficio ed una macchina sul mio lato mi chiedesse 192.168.1.x risponderei "c..zo vuoi? E' sulla tua rete!").


Se hai due reti uguali non hai una configurazione fatta bene, anche ammesso di volerla far funzionare lo stesso cambiando routes e metriche

Straquoto.


Perchè non ha senso... o meglio non ha senso dovere usare il gateway.... la VPN è fatta per collegarsi in azienda e lavorare, non per navigare....

Beh, in alcuni casi ha parecchio senso: spesso gestisco macchine in remoto su ssh che rispondono solo se chiamate da determinati ip, compreso quello del mio gateway. Se sono fuori, dal portatile vado in vpn sulla mia rete ed il gateway predefinito passa sulla vpn, altrimenti la macchina remota che devo vedere mi rimbalza. Idem per le interfacce web di configurazione o comunque non aperte pubblicamente su internet.