Ciao a tutti
Sono un nuovo iscritto ma vi seguo da tempo con interesse. La mia passione è....smanettare sulle reti.
sono alla ricerca della migliore soluzione per la realizzazione di una VPN lan to lan con queste specifiche:

- la sede A ha già un router però di fascia medio-bassa che non supporta le VPN IPsec come END POINT.
- la sede B ha un router CISCO 3005 che consente l'instaurazione di un END POINT VPN

- Entrambe le sedi hanno ip statici
- La rete LAN di A ha una fascia di indirizzi che girano su quella B

Obiettivo: Si vuole insaturare la VPN tra A e B installando in A un adeguato router.

Presupposti: Nella sede B non si può apportare alcuna modifica, visto che su questa girano un elevato numero di processi la cui alterazione interesserebbe tempi e costi eccessivi.
Nella sede A si vorrebbe collegare il nuovo router VPN in cascata a quello che allo stato attuale funge da Gateway; inoltre si vorrebbe risolvere il problema della sovrapposizione di indirizzi tra le LAN A e B nattando gli indirizzi dei client di A prima di entrare mediante VPN su B. La soluzione di cambiare gli indirizzi IP delle macchine è da escludere visto l'elevato numero di client in A.

Ho pensato a questa soluzione: visto che comunque in A i pc che si collegheranno alla VPN saranno al massimo 3, in A inserisco in cascata un router VPN al gateway; ho pensato ad un LINKSYS BEFVP41. Il collegamento lo effettuo con un cavo Ethernet collegando la porta INTERNET del router VPN ad una porta ETHERNET del gateway. Se ad es il gateway ha indirizzo 192.168.1.1 (DHCP disabilitato), al VPN assegno 192.168.194.1 (classe indirizzi che non girano nella sede B); come gateway nel router VPN assegno l'indirizzo 192.168.1.1. Al router VPN (DHCP disabilitato) connetto 3 pc con IP 192.168.194.3 , 192.168.194.4, 192.168.194.5.
A questo punto configuro il modem VPN per l'instaurazione della VPN LAN to LAN.
Che ve ne pare? Qualcuno ha una soluzione migliore?
Infine: con questa configurazione i pc delle 2 sottoreti possono vedersi?

Grazie a chiunque interverrà

amolaplay

nessuna idea??:help:

visto che sono 3 pc.....installagli sopra il cisco client ( su ognuno dei 3 ) e fai vpn client to site.
spesa 0
sbattimento > = 0
successo :immediato.

alternativa.
sostituisci il router ( il gw del site A ) con un cisco vpn capable.
spesa 300/400 euri
sbattimento + 1
successo: garantito con valore aggiunto dato dal nuovo giocattolo

altra alternativa
agiungi un firewall netscreen in transparent mode ( layer 2 ) messo in lan
spesa : 80/100 euro se lo prendi piccolo ( 5xp che è fuori produzione uppure 5gt )
sbattimento : + 1
successo: garantito con valore aggiunto di sicurezza della rete.

Paolo, grazie per la risposta e per l'interesse.
La prima soluzione (client) è quella già adottata in passato, ma che va esclusa in quanto si richiede una vpn Hardware in entrambe le parti.
Tra le altre soluzioni, ritengo quella di maggiore interesse la terza (firewall).

Che intendi "aggiungi un firewall netscreen in transparent mode ( layer 2 ) messo in lan"?

A tal proposito ti chiedo:

- Collegamento: da quel che immagino, il firewall andrà connesso al Gateway (porta ethernet del gateway e porta wan del firewall?).
- Quindi bisognerà creare una regola nel gateway smistando il traffico internet verso il firewall.
- bisognerà cambiare nel Gateway gli indirizzi LAN (mettendo quello del firewall)
- bisognerà ricreare tutti i processi del gateway nel firewall

Sono necessari tutti questi passaggi?

Ed infine (e soprattutto) come risolvo la questione della sovrapposizione delle 2 lan che ruotano entrambe su 192.168.1.x? Come anticipato, vorrei fare in modo che la rete A quando si apre il tunnel, venga vista ad es come 192.168.3.x

Grazie ancora e....:help:

Paolo, grazie per la risposta e per l'interesse.
La prima soluzione (client) è quella già adottata in passato, ma che va esclusa in quanto si richiede una vpn Hardware in entrambe le parti.
Tra le altre soluzioni, ritengo quella di maggiore interesse la terza (firewall).

Che intendi "aggiungi un firewall netscreen in transparent mode ( layer 2 ) messo in lan"?

A tal proposito ti chiedo:

- Collegamento: da quel che immagino, il firewall andrà connesso al Gateway (porta ethernet del gateway e porta wan del firewall?).
- Quindi bisognerà creare una regola nel gateway smistando il traffico internet verso il firewall.
- bisognerà cambiare nel Gateway gli indirizzi LAN (mettendo quello del firewall)
- bisognerà ricreare tutti i processi del gateway nel firewall

Sono necessari tutti questi passaggi?

Ed infine (e soprattutto) come risolvo la questione della sovrapposizione delle 2 lan che ruotano entrambe su 192.168.1.x? Come anticipato, vorrei fare in modo che la rete A quando si apre il tunnel, venga vista ad es come 192.168.3.x

Grazie ancora e....:help:

no,...non sono necessari tutti questi passaggi.....se lo fai lavorare in layer 2 ( cioè come uno switch )
praticamente crei un interfaccia vlan1 sul netscreen al quale associ un ip della LAN ( quella dei pc ) e stop. l'ip server solo per il management della vpn.
i pc continueranno ad avere come gateway il router.
sul firewall fai le tue regole di sicurezza e in piu configuri la vpn che verra gestita dal firewall e non dal router )

fisicamente connetti il router al firewall e i pc al firewall.

se invece lo vuoi far lavorare a livello 3 ( routing/natting ) devi fare tutto quello che dici tu...cioè ip diversi....collegamento point to point tra firewall e router ...cambiare gil gateway dei pc e quant'altro.

per l'overlap delle reti devi per forza di cose nattare da un lato.
in alternativa devi rivedere il tuo piano di indirizzamenti ip.

....ma tutti i firewall vpn mi consentono il nat della rete lan nel tunnell?
Di solito come si individua questa regola nelle specifiche o nei pannelli di controllo dei dispositivi?
Ho provato a fare una ricerca sui manuali di alcuni di essi (ad es NetGear) ma sinceramente non sono riuscito ad individuarla (mentre appare ben chiaro come configurare la vpn lan to lan)

....ma tutti i firewall vpn mi consentono il nat della rete lan nel tunnell?
Di solito come si individua questa regola nelle specifiche o nei pannelli di controllo dei dispositivi?
Ho provato a fare una ricerca sui manuali di alcuni di essi (ad es NetGear) ma sinceramente non sono riuscito ad individuarla (mentre appare ben chiaro come configurare la vpn lan to lan)


quelli che conosco io si. su tutti puoi fare il nat sulla vpn
sul netgear non ti so aiutare. non li uso e non ne conosco la gui.

Paolo,
grazie ancora per l'interesse.
Potresti indicarmi un modello che conosci da consentirmi sia la configurazione dell'end point vpn che il nat della lan?

figurati.

se vuoi apparati seri ti consiglio i juniper o i cisco.

-potresti usare un 5xp ( fuori produzione ) che trovi usato a 80/100 euro.
lavora sia in layer 2 che in layer 3 ed è di facile configurazione.
calcola che il modello proposto è un apparato SOHO.


- potresti usare un 5gt ( con wireless oppure senza ) che costa su 400 euro
lavora sia in layer 2 che in layer 3 ed è di facile configurazione.
anche questo è un apparato SOHO.

- se vuoi qualcosa di più impegnativo puoi sempre andare su cisco che non ha biogno di presentazioni.

puoi scegliere sia la serie pix ( fuori produzione ma per questo fai buoni affari a prezzi decenti ) o sulla serie ASA ( preparati a spendere qualche migliaio di euro ).

altre marche non te ne so consiglilare poiche per il alvoro che faccio uso prevalentemente apparati di tipo businness.

io personalmente ti consiglierei i juniper per semplicità d'uso...ma se ti interessa conoscere il mondo cisco ( che è la bibbia del networking ) potresti usare i pix ( ne vendo uno nel mercatino ) anche se sono effettivamente piu complicati da configurare.

i prezzi riguardano apparati usati. per il nuovo il prezzo sale.

ovvio che poi è tutta questione di budget, quindi verifica quanto puoi spendere e poi ti regoli.
sicuramente esitono altre marche che fanno le stesse cose a prezzi più contenuti.
ciao

Avevo ben capito immaginando che eri del settore.
Vorrei optare per juniper, data la semplificazione nella procedura di configurazione.
sto cercando in rete i prodotti da te segnalati.
Nell'eventualità di difficoltà nella configurazione, c'è la possibilità di contattarti in privato?

scrivi sul forum che se posso ti aiuto.
ad ogni modo ci sono delle guide per i netscreen e interi forum dedicati.
sono in inglese spero non sia un problema per te.

verifica inoltre se qualcuno sa consigliarti apparati che costano meno e fanno le stesse cose....uno sguardo in giro non fa mai male.

Paolo, scusa se ti rompo ancora.
Purtroppo riscontro grandi difficoltà a trovare sti benedetti firewall.
Anche il netscreen 5gt risulta fuori produzione (opterei per il nuovo e non per l'usato).
Volevo chiederti: in merito alla possibilità di configurare il dispositivo in transparent mode (layer2), visto che non sempre è riportato nelle specifiche dei dispositivi, basta l'indicazione "switch"? (Es: "switch 8 porte").
Oppure bisogna che sia specificato "modalità transparent mode"?

Guardando in rete ho individuato questi modelli:

- DrayTek Vigor 2930 (o 2950)
- D-LINK DFL-210 4P
- Netgear FVS338 (o FVX538)

Potrebbero andare bene?.....:help:

eh, i juniper non li trovi al mediaworld purtoppo....cmq...no, la scritta switch non basta. quello sta ad indicare uno switch integrato che non è la stessa cosa.

ad ogni modo...

il drytek mi sembra completo . supporta ssl, ipsec, qos,load sharing etc....ma la marca non la conosco.
non mi sembra si possa mettere in transparent....ma a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping.

il dlink ha meno funzionalità ( manca ssl ) ma "sembra" sia configurabile in transparent mode. ha un ips interno che non guasta mai..
ribadisco che a sto punto lascia stare il transparent mode ( che si usa quando ci sei costretto poiche non puoi fare nessuna modifica sulla rete ) e configurarlo come si deve che tanto ci metti poco.
marca conosciuta ( usa chipset cisco rebrandizzati ) quindi supporto credo che non manchi.

il netgear è simile al dlink ( manca ssl ) anche se mi sembra meno completo. supporta fino a 50 vpn tunnel contemporanei...mentre il drytek mi semba che arrivi a 100.....( ma non credo che li utilizzerai ).

gli algoritmi di criptazine sono piu o meno gli stesso per tutti e 3 i modelli.... md5-sha/des,3des e compagnia bella....( la vpn quando la farai falla in 3des....ma devi verificare se il cisco 3000 che hai lo supporta.) uno "sh ver" sull'apparato ti dovrebbe dare le indicazioni che ti servono.

i prezzi non li ho guardati...ma fossi in te probabilmente starei su quello che costa meno e poi sceglierei tra il dlink ( visto la bontà della marca ) o proverei per curiosità il drytek ( che ha delle feature carine ) anche se non l'ho mai provato.

ciao

valuta anche zeroshell, 1 pc vecchio con 2 schede di rete e via

" a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping".

Paolo, ma i pc della lan sono tanti (oltre a stampanti), e non mi pare conveniente riassegnare gli indirizzi a tutte le macchine. Quindi dovrei comunque considerare un nat nel tunnel per i 2/3 pc sulla VPN, oppure .....?

Samu, grazie anche a te per l'interesse. Puoi spiegarmi meglio la tua idea?

valuta anche zeroshell, 1 pc vecchio con 2 schede di rete e via

confermo, ottima idea.

o fai source nat o rivedi gli ip o metti un firewall in trasnparent mode.
non mi pare ci siano altre soluzioni.

zeroshell fa quello che farebbe un firewall...solo che lo fai e via software con un muletto .

per la sovrapposizione di indirizzi esiste una tecnica molto più elegante: il double-Nat.

" a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping".

Paolo, ma i pc della lan sono tanti (oltre a stampanti), e non mi pare conveniente riassegnare gli indirizzi a tutte le macchine. Quindi dovrei comunque considerare un nat nel tunnel per i 2/3 pc sulla VPN, oppure .....?

Samu, grazie anche a te per l'interesse. Puoi spiegarmi meglio la tua idea?

" a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping".

Paolo, ma i pc della lan sono tanti (oltre a stampanti), e non mi pare conveniente riassegnare gli indirizzi a tutte le macchine. Quindi dovrei comunque considerare un nat nel tunnel per i 2/3 pc sulla VPN, oppure .....?

Samu, grazie anche a te per l'interesse. Puoi spiegarmi meglio la tua idea?Come ti dicevo andrebbe utilizzato un doppio-NAT, ma ora non ho il tempo di spiegarti esattamente come si implementa.

per la sovrapposizione di indirizzi esiste una tecnica molto più elegante: il double-Nat.

Ovvero?

per la sovrapposizione di indirizzi esiste una tecnica molto più elegante: il double-Nat.

questione di gusti.

a mio personalissimo modo di vedere preferisco nattare una volta sola e dall'altro lato mettere una statica o un protocollo di routing.
io il doppio nat, se posso, lo evito come la peste....ma non perchè non sia funzionale, anzi...ma perchè poi....diventa complicato fare troubleshooting su reti di cui non sai nulla ma su cui devi smanettare.

per non parlare della maggiore probabilità che ti si incastri la tabella di nat. a me è successo un paio di volte e cio ho perso tempo per capire quale fosse il problema.

ribadisco..è solo una questione di approcci.
il mio è "keep it simple !"

amolaplay...cmq per risolvere il tuo problema.....e se non vuoi spendere soldi....prendi un muletto p3 o p4 con 2 schede di rete e installagli sopra il software che ti hanno indicato.

non stai facendo altro che installare un firewall ( opzione 2 ) solo che al posto di un ferro dedicato avrai un pc con un software fatto apposta.
i problemi che hai.( nat, indirizzamenti e quantaltro ) sono gli stessi che avresi mettendo un fw.

ciao e buon we a tutti.

Ciao Paolo
Volevo aggiornarti in merito alla realizzazione della Vpn.
Fermo restando le soluzioni da tutti voi proposte (ovviamente GRAZZIE), e fermo restando l'esclusione della soluzione client (come detto precedentemente, devo realizzarla di tipo hardware), avrei la possibilità di crearla a costo zero.
Spiego meglio: ieri un mio amico mi ha confermato di potermi regalare un Linksys BEFVP41 accennato nel mio primo post (non ne ero sicuro, ieri mi ha dato conferma).
Il dispositivo è praticamente nuovo, mai utilizzato per acquisto errato.
Il problema è però questo: si tratta di un router VPN che necessita di essere connesso a un modem. Le specifiche fanno al caso mio (a proposito, le specifiche per quanto riguarda le autenticazioni e IKE sono SHA e 3DES).
A questo punto la mia idea sarebbe di connettere in cascata questo router al gateway attualmente operativo (D-LINK DSLG624T), connettendo la porta ETHERNET del D-LINK alla porta INTERNET del LYNKSYS.
Per quanto concerne la VPN, visto che i pc che devono usare il tunnell saranno al max 2, potrei creare una sottorete associata al LYNKSYS comprendente i 2 pc con indirizzo lan di classe diversa da quelli della LAN associata al GATEWAY? Ovvero: se i pc della lan del Gateway hanno indirizzi 192.168.1.x (Gateway 192.168.1.1), connetto in cascata il LYNKSYS (con ip 192.168.1.2) e a questo associo una LAN con indirizzi ad es 192.168.2.x).
Può andare bene? E per fare comunicare le 2 sottoreti? Pc con 2 schede di rete?
Ovviamente non sono un masochista: le soluzioni proposte con firewall andrebbero più che bene. Il fatto è che in tal modo risparmierei un pò di centinaia di euro......:)

....ovviamente la domanda è estesa a chiunque vorrà intervenire.

devi per forza avere 2 subnet differenti tra wan e lan.

ciao NuovoUtente
potresti spiegarmi meglio?
Cioè gateway 192.168.1.x
router linksys 192.168.2.x ?

sulla parte wan del linksys occorre naturalmente un indirizzo coerente con il gateway, lato lan un' altra subnet

okkk
e i pc delle 2 sottoreti si vedrebbero?
e per quanto riguarda la vpn? può funzionare?

se vi è un nat attivo non si vedrebbero, se non per mezzo dei loro indirizzi di nat e relativi forward.

quindi se ho ben capito:
supponendo ad es un pc (A) della sottorete del router vpn; perchè questo possa vedere un pc (B) della sottorete del gateway bisogna creare una regola che lo porti a passare attraverso il lato WAN del router vpn......:confused:

da A a B accedi tranquillamente (parliamo di livello rete) per il seguente meccanismo:
-su A fallisce l' anding e quindi di va verso il gateway (che è il linksys)
-il gateway(linksys) natta l' ip con quella della propria interfaccia wan e consegna, tramite indirizzamento fisico, il pacchetto all' host destinazione.
-B vede come mittente un host sulla sua sottorete (l' ip in nat) e quindi può rispondere tranquillamente.
-il linksys effettua il Nat contrario e consegna al pc.

Da B ad A poichè l' anding fallisce si va verso il gateway internet e ovviamente i pacchetti vengono droppati. Per ovviare a ciò occorre o settare una regola di routing su ogni singolo host, oppure il gateway deve operare in regime di direct arp.

Ciao a tutti.
Vi aggiorno sulla situazione e vi chiedo ancora un aiuto
Ho eseguito la configurazione del Linksys in cascata non al d-link come avevo scritto, ma al router Alice gate 2 wi-fi.

Questa la configurazione:

Alice Gate (Gateway): lato wan: IP PUBBLICO
lato lan: 192.168.1.1 (lan 192.168.1.x)


Linksys: lato wan: 192.168.1.50
lato lan: 192.168.3.1
(lan 192.168.3.x con gateway 192.168.3.1)
Il collegamento è ok.
Ho configurato la vpn, aprendo la porta UDP 500 sull'Alice ed indirizzandola verso il Linksys.
La VPN va su (dal log verifico la connessione con successo); però non passa alcun pacchetto.
Ho provato a fare un semplice telnet da un client autorizzato verso un client dell'altro lato della VPN, ma spunta il messaggio "IMPOSSIBILE CONTATTARE L'HOST SULLA PORTA 23".
Stesso messaggio se provo a fare un telnet verso altro sito.
In entrambi i router il firewall è disabilitato.
In entrambi i router è attivo il NAT.

Qualche idea?? :help:
Anche eseguendo un te

...nessuna idea?
Quello che mi lascia perplesso è che anche connettendo direttamente un pc al router telecom e facendo un telnet verso lo stesso gateway (192.168.1.1) mi spunta lo stesso errore: "Impossibile connettere l'host attraverso la porta 23".
......:help:

...la vpn è connessa, ma non riesco a vedere l'altro lato.
Leggendo qua e là sul forum, sembra possa essere un problema di nat sui 2 router:
sul gatew Alice è attivo il NAPT
sul Linksys il NAT
Se provo a disabilitare il Nat sul Linksys però la connessione va giù.
Come posso risolvere e riuscire a far passare il traffico dati?
Vi chiedo :help:

hai creato le policy ( sui 2 firewall ) che permettono il passaggio del traffico ( esempio ICMP ) da e verso le 2 reti?
in una vpn non basta far attivare la vpn...questo è solo il primo passo...dopodiche bisogna definire le tipologie di traffico che devono transitare attraverso il tunnel.
a spanne mi vien da pensare che ti mancano le policy di accesso che permettono di far parlare un pc del site A con un pc del site B su una determinata porta.

Paolo, puoi spiegarmi meglio?
sul gatew Alice ho aperto la porta UDP 500 verso l'ip del Linksys (vpn ipsec).
Per sicurezza ho aperto anche la udp 4500.

allora, mediamente per tirare su una vpn devi fare un po di cose tra cui:
settaggio della fase 1
settaggio della fase 2
settaggio encrypion domain ( reti che parteciapano alla vpn )
creazione policy di accesso attraverso la vpn
routing.

se tu dici che la vpn è già su, questo significa che la fase 1, la fase 2 e il settaggio dell'encripion domain, ( che in base al modello di firewall usato, spesso si configura dentro una delle 2 fasi ) sono stati fatti correttamente, altrimenti la vpn non ti andrebbe su.

ora, mi rimane da pensare che ti manchino le policy di accesso.....ovvero.....devi dire ai 2 firewal COSA ( quali reti, quali protocolli ) possono passare attraverso la vpn che hai appena creato.
quindi se vuoi che il sito A raggiunga il sito B su qualsiasi protocollo devi creare una policy del tipo : permit ip from ANY to ANY service ANY ( la sintassi cambia da appliance ad appliance, quindi prendilo come concetto e non come comando )
un altro esempio di accesso da un ip verso un altro ip tramite remote desktop può essere:
permit tcp 10.10.10.x /32 192.168.1.x/32 eq 3389 .

una volta che hai creato le regole di accesso dovrebbe andare. se ancora non ti va, protrebbe essere un problema di routing ( il firewall del sito A....conosce la strada per raggiungere LA RETE DIETRO il firewall del sito B ?? e viceversa? )
per verificarlo devi vedere se nella tabella di routing dei 2 firewall c'è una entry per la sede remota. se c'è tutto ok. se non c'è metti delle statiche o abilita dei protocolli di routing.

ovviamente come farlo lo devi vedree tu perche tu sai come è fatta la tua rete e che parametri mettere.

Paolo, il problema è proprio il fatto che non riesco a trovare nel gateway Alice il modo di inserire tali permessi.
Da quel che ho capito dovrei lavorare sul lato Wan (quindi ip pubblico) dell'Alice, ma non mi pare (o forse non so) se si può fare.
Al piu' riesco ad aprire delle porte nella sezione Virtual server.

uhmm...ma il gateway alice è un router o un firewall ( o entrambi ) ?
i router che conosco io hanno sempre un minimo di policy di sicurezza da porter inserire e mi sembra strano che il tuo non le ha.
non conosco il modello quindi non ti so dire dove guardare ( cerca della doc su internet che sicuramente troverai qualcosa )....ad ogni modo, ammesso che la vpn lasci passare TUTTO di default ( cosa strana ) , collegati all'altro endpoint della vpn e fai le verifiche da li.
prova ad impostare una policy che permette ( o nega ) tutto il traffico e abilita il logging. in questo modo puoi capire se i pacchetti arrivano e se eventualmente sono bloccati da questa parte.

Si tratta dell'ALICE GATE WI FI 2 PLUS.
Lo hanno installato da poco (Impresa Semplice).
Trattasi di un router+firewall.
Dall'altro lato non arriva alcun pacchetto; è come se non riuscissero ad uscire dal mio lato.
Ho cercato un pò in rete, dove si parla di protocollo Esp (ID 50 e 51).
Ma non saprei come abilitarli in questo gateway