abies
12-06-2010, 12:15
Ciao ragazzi,
Come molti di voi sanno il materiale su internet circa la configurazione di questo tipo di VPN e' praticamente assente. Infatti per poter aprire una estensione della rete aziendale si e' "indotti, veicolati" verso l'acquisto di licenze client gia belle e impostate.
Ma se non si vuol pagare nulla ?
Il tutto e' iniziato quando il dirigente generale mi chiede : "Marco ... voglio che mi configuri sul mio pc di casa un accesso VPN per visionare le cam e per accedere ai server" ............. panico ....... :mc:
Non ho potuto che dire "Ma certo direttore, le mando per email le credenziali di accesso".
E qui inizia l'incubo. :help: Su internet il nulla, manuali Zyxel ? niente da fare !
Il tempo stringe e le notti si fanno corte.
dopo 4 nottate sono riuscito a configurare una VPN
con questo bel giocattolo che e' lo Zyxel USG-100.
Per prima cosa fate un bel backup del dispositivo, non si sa mai.
Avviate il Wizard e selezionate VPN setup
Usiamo il metodo Express
Scegliamo Remote Access (Server Role) in questo modo accederemo da qualsiasi client
Immettiamo una PreShared Key complessa ( anche se non la useremo )
In Local policy inseriamo un ip interno della LAN Aziendale ad esempio 172.16.11.100/255.255.0.0
In Local policy inseriamo un ip interno della LAN Aziendale ad esempio 172.16.11.100/255.255.0.0, Questo e' importante perche l'assegnazione dell' IP al client che richiede l'apertura del tunnel
Cliccare SAVE per generare lo script VPN
A questo punto la VPN IpSec e' stata creata, ma dobbiamo configurare l'utente che dovrà accedere alla VPN, quindi :
Andiamo su Object->User/Group
Creiamo un utente ad esempio MARCO appartenente al User Tupe USER, ( non si puo' accedere alla VPN se si e' amministratori o Limited admin )
Andiamo su Object->Address
Creiamo un nuovo indirizzo, qui possiamo decidere cosa deve avere visibile chi si connette. Se inseriamo l'ip xxx di una macchina della nostra LAN, appena effettuato l'accesso alla VPN, dal client verra pingato solo l'indirizzo xxx. Se impostiamo un range vedra' solo quello etc, quindi scegliete voi cosa consentire.
Andiamo su VPN->SSL Vpn
Sul Tab Access Privilege creiamo una nuova regola
Abilitiamo la spunta "Enable policy" e togliamo "Join SSL_VPN Zone"
Dalla lista degli User inseriamo l'utente precedentemente creato
Non aggiungiamo nessun "SSL Application List"
Abilitiamo "Network Extension"
Su "Assign IP Pool" si deve inserire l'indirizzo di una qualsiasi macchina della LAN. Questo serve per fare in modo che il firewall assegni al client vpn un indirizzo appartenente alla classe della LAN aziendale. Quindi basterà inserire l'indirizzo/range creato al punto 4. Se ad esempio l'indirizzo xxx e' 172.16.11.134/255.255.0.0, non appena ci si collegherà alla VPN il DHCP del firewall assegnerà 172.16.0.1/255.255.0.0 e cosi via
Su Network List imposteremo invece l'idirizzo o gli indirizzi/range che vorremo consentire essere raggiunti una volta connessi alla VPN
( possono essere diversi ad esempio consentire l'accesso a 4 macchine con IP non contigui, ovviamente dovrete prima crearli o al momento cliccando sul bottoncino "Create New Address Object" )
Confermate e fate il logoff al firewall
Qui viene la parte piu' semplice.
Da casa o da ovunque purche fuori dalla lan aziendale,
aprite Internet Explorer ( funziona solo con IE >= ver.6 )
e sull'indirizzo impostate https://indirizzopubblicoadslaziendale che e' attestato al Vs FIREWALL ZYXEL USG-100.
sulla mascherina impostate l'utente creato al punto 2 ( seconda lista )
la password ed voitla' (si scrive cosi ) vi verra chiesto di installare, (una tantum ), un ActiveX che il Vs firewall distribuirà al client e appena attivato
alla Vs scheda LAN verrà aggiunto un nuovo indirizzo appartenente alla classe della Vs LAN aziendale cosi come indicato nel punto 11.
Buon Lavoro
Come molti di voi sanno il materiale su internet circa la configurazione di questo tipo di VPN e' praticamente assente. Infatti per poter aprire una estensione della rete aziendale si e' "indotti, veicolati" verso l'acquisto di licenze client gia belle e impostate.
Ma se non si vuol pagare nulla ?
Il tutto e' iniziato quando il dirigente generale mi chiede : "Marco ... voglio che mi configuri sul mio pc di casa un accesso VPN per visionare le cam e per accedere ai server" ............. panico ....... :mc:
Non ho potuto che dire "Ma certo direttore, le mando per email le credenziali di accesso".
E qui inizia l'incubo. :help: Su internet il nulla, manuali Zyxel ? niente da fare !
Il tempo stringe e le notti si fanno corte.
dopo 4 nottate sono riuscito a configurare una VPN
con questo bel giocattolo che e' lo Zyxel USG-100.
Per prima cosa fate un bel backup del dispositivo, non si sa mai.
Avviate il Wizard e selezionate VPN setup
Usiamo il metodo Express
Scegliamo Remote Access (Server Role) in questo modo accederemo da qualsiasi client
Immettiamo una PreShared Key complessa ( anche se non la useremo )
In Local policy inseriamo un ip interno della LAN Aziendale ad esempio 172.16.11.100/255.255.0.0
In Local policy inseriamo un ip interno della LAN Aziendale ad esempio 172.16.11.100/255.255.0.0, Questo e' importante perche l'assegnazione dell' IP al client che richiede l'apertura del tunnel
Cliccare SAVE per generare lo script VPN
A questo punto la VPN IpSec e' stata creata, ma dobbiamo configurare l'utente che dovrà accedere alla VPN, quindi :
Andiamo su Object->User/Group
Creiamo un utente ad esempio MARCO appartenente al User Tupe USER, ( non si puo' accedere alla VPN se si e' amministratori o Limited admin )
Andiamo su Object->Address
Creiamo un nuovo indirizzo, qui possiamo decidere cosa deve avere visibile chi si connette. Se inseriamo l'ip xxx di una macchina della nostra LAN, appena effettuato l'accesso alla VPN, dal client verra pingato solo l'indirizzo xxx. Se impostiamo un range vedra' solo quello etc, quindi scegliete voi cosa consentire.
Andiamo su VPN->SSL Vpn
Sul Tab Access Privilege creiamo una nuova regola
Abilitiamo la spunta "Enable policy" e togliamo "Join SSL_VPN Zone"
Dalla lista degli User inseriamo l'utente precedentemente creato
Non aggiungiamo nessun "SSL Application List"
Abilitiamo "Network Extension"
Su "Assign IP Pool" si deve inserire l'indirizzo di una qualsiasi macchina della LAN. Questo serve per fare in modo che il firewall assegni al client vpn un indirizzo appartenente alla classe della LAN aziendale. Quindi basterà inserire l'indirizzo/range creato al punto 4. Se ad esempio l'indirizzo xxx e' 172.16.11.134/255.255.0.0, non appena ci si collegherà alla VPN il DHCP del firewall assegnerà 172.16.0.1/255.255.0.0 e cosi via
Su Network List imposteremo invece l'idirizzo o gli indirizzi/range che vorremo consentire essere raggiunti una volta connessi alla VPN
( possono essere diversi ad esempio consentire l'accesso a 4 macchine con IP non contigui, ovviamente dovrete prima crearli o al momento cliccando sul bottoncino "Create New Address Object" )
Confermate e fate il logoff al firewall
Qui viene la parte piu' semplice.
Da casa o da ovunque purche fuori dalla lan aziendale,
aprite Internet Explorer ( funziona solo con IE >= ver.6 )
e sull'indirizzo impostate https://indirizzopubblicoadslaziendale che e' attestato al Vs FIREWALL ZYXEL USG-100.
sulla mascherina impostate l'utente creato al punto 2 ( seconda lista )
la password ed voitla' (si scrive cosi ) vi verra chiesto di installare, (una tantum ), un ActiveX che il Vs firewall distribuirà al client e appena attivato
alla Vs scheda LAN verrà aggiunto un nuovo indirizzo appartenente alla classe della Vs LAN aziendale cosi come indicato nel punto 11.
Buon Lavoro