Ciao a tutti,

- sto gestendo un ufficio situato a Napoli con Server Windows 2008 R2 su cui gira un gestionale con database.

Server e Client di questo ufficio sono dietro Firewall Smoothwall Linux.

- Poi c'è un altro ufficio situato a Roma che è collegato tramite VPN IpSec con cui il client si collega al server di Napoli.

Nelle impostazioni del firewall c'è una regola VPN IpSec che permetta all'ip pubblico di poter entrare nel dominio del Server di Napoli in modo che possa utilizzare i software in rete.

-------------------------------------------------

Il firewall è abbastanza vecchiotto e vorremmo sostituirlo con qualcosa di più moderno.

Avrei pensato a questo :

ZyXel Firewall USG 100 Plus
( http://www.zyxel.it/Prodotti/Scheda/ZYXUSG-100P-BUN )

--------------------------------------------------

Vorrei fare in modo che oltre ai client con ip pubblico statico, possano connettersi anche client con Ip Dinamico (portatili che si spostano per lavoro).

Da quanto ho visto questo firewall ZyXel è dotato di un software che si installa sui client che crea automaticamente una connessione VPN.

qui c'è il video:

http://www.youtube.com/watch?v=xnTUDgZgGn0

--------------------------------------------------

Tutto ciò è possibile farlo senza toccare nessuna impostazione dei ruoli e della rete di Windows 2008 ???

Si fa tutto tramite firewall e installando il software ZyXel sui client???

Grazie!

il prodotto che hai scelto va benissimo

come dicevo ieri ad un altro utente questo con licenza plus di da oltre alle funzionalità firewall base anche il servizio content filtering per un anno e altri servizi di sicurezza aggiuntivi.

I client per i portatili sono molto facili da installare e configurare, pero attenzione perché se non ricordo male hanno bisogno di una licenza a parte aggiuntiva. Non ricordo se qualche licenza è già inserita nel pacchetto base :)

sulla rete interna di Napoli non devi cambiare niente, devi solo ricreare il tunnel VPN con Roma in modo che si possano collegare i loro client

Nell'ufficio di Roma che firewall c'è?


EDIT - ho controllato la scheda del prodotto, sono incluse due licenze di VPN SSL, ovvero una modalità che ti permette di creare la VPN via browserweb senza installare nessun client (ho provato una volta e non è difficile). Probabilmente a questo punto i client VPN non necessitano più di licenza come una volta :)

A Roma c'è un'altro Firewall Smoothwall.

mica devo comprare un altro firewall anche a Roma ???

Attualmente il mio Firewall mi permette di far collegare solo client con IP PUBBLICI STATICI.

Io ho bisogno di un prodotto che faccia installare un software sui portatili, in modo da farli lavorare al gestionale anche fuori ufficio e con IP PUBBLICO DINAMICO .

Ma le licenze software VPN ZyXel si devono rinnovare ogni anno ??????

A Roma c'è un'altro Firewall Smoothwall.

mica devo comprare un altro firewall anche a Roma ???



Se usa un metodo di crepitazione standard non c'è bisogno.
Conviene comunque che prima dai un occhio su come è fatta la VPN, in modo da capire se usa degli standard che lo Zyxel supporta :)


Attualmente il mio Firewall mi permette di far collegare solo client con IP PUBBLICI STATICI.

Io ho bisogno di un prodotto che faccia installare un software sui portatili, in modo da farli lavorare al gestionale anche fuori ufficio e con IP PUBBLICO DINAMICO .

Ma le licenze software VPN ZyXel si devono rinnovare ogni anno ??????

come ho scritto nell'edit a questo punto credo che solo le VPN SSL siano da licenziare, mentre quelle con client non lo siano più (qualche tempo fa lo erano)

I firewall (tutte le marche) da qualche anno a questa parte ti permettono di creare sia tunnel statici (IPsec, L2TP, etc) sia tunnel dinamici con client VPN o SSL

:)

EDIT - ho controllato la scheda del prodotto, sono incluse due licenze di VPN SSL, ovvero una modalità che ti permette di creare la VPN via browserweb senza installare nessun client (ho provato una volta e non è difficile). Probabilmente a questo punto i client VPN non necessitano più di licenza come una volta :)

Cosa significa una VPN tramite Browser???

dal firewall devo nattare l'indirizzo IP Pubblico ?

una volta collegati via browser cosa accade?

Cosa significa una VPN tramite Browser???

dal firewall devo nattare l'indirizzo IP Pubblico ?

una volta collegati via browser cosa accade?

in pratica, invece che installare un programma client, apri una pagine internet, ti colleghi all'indirizzo ip pubblico e inserisci utente e password, e tac la van è creata (detto in parole povere;))

non devi fare nessun nat, è come se andassi su un qualsiasi sito e facessi la login, solo che in questo caso ti connette alla rete interna ;)

grazie 1000 per le info...

Volevo togliermi gli ultimi dubbi.

Vi posto la configurazione di rete del Server Windows 2008:

Ha 2 schede di rete fisiche , ma nel centro reti e condivisione ne compaiono 3 attive:

----------SCHEDA 1----------

INDIRIZZO IP : 192.168.30.164
SUBNET MASK : 255.255.255.0
GATEWAY PREDEFINITO : 192.168.30.1

SERVER DNS PREFERITO : 192.168.30.5
SERVER DNS ALTERNATIVO : 192.168.30.1 (indirizzo del firewall)

=================================

----------SCHEDA 2----------

INDIRIZZO IP : 192.168.30.5
SUBNET MASK : 255.255.255.0
GATEWAY PREDEFINITO : 192.168.30.1

SERVER DNS PREFERITO : 192.168.30.5
SERVER DNS ALTERNATIVO : 89.97.140.140

=================================

----------SCHEDA 3----------

TUTTO AUTOMATICO


=================================

Ora non capisco una cosa ...

perchè il server utilizza 2 schede di rete fisiche? e perchè in centro reti e condivisione ne compaiono 3?

Il server lo utilizzano solo per Exchange e per il Gestionale.

=================================

prima di tutto controlla bene quanti cavi di rete entrano nel pc, non si sa mai.
Sopratutto fai attenzione se uno dei cavi di rete entra in una porta di management (nei serv hp si chiama ILO), ovvero una porta di rete che server per gestire il server da remoto nel caso abbiamo problemi o per effettuare normale manutenzione ;)

la terza scheda non ho idea di cosa possa essere :mbe:

se vai in pannello di controllo o direttamente nel centro connessioni di rete che info ti da sulla scheda in questione? tipologia?modello?


un altra cosa che ho notato è che c'è il firewall come indirizzo DNS su una delle schede; mi sembra strana la cosa perché di solito i firewall non hanno compito di risoluzione dei nomi;)

Per una migliore comprensione Server / Firewall vi posto delle screenshot :




Ruoli Server installati
http://i.imgur.com/dwccTD4.jpg




Centro reti


http://i.imgur.com/DvbGEbB.jpg



http://i.imgur.com/E7qwlbo.jpg




http://i.imgur.com/6Fr56F5.jpg




Impostazioni Principali Firewall

http://i.imgur.com/VhblfEE.jpg



http://i.imgur.com/MnUjNxT.jpg



http://i.imgur.com/ik0nyIm.jpg




http://i.imgur.com/GMnvksM.jpg




http://i.imgur.com/eRc2gZ9.jpg




http://i.imgur.com/h8NSWLC.jpg




http://i.imgur.com/bY7JctY.jpg




http://i.imgur.com/ZMXHtUx.jpg





http://i.imgur.com/dcjnagk.jpg




Spero riusciate almeno voi a darmi una panoramica della situazione

prima cosa bisogna capire bene sto discorso delle schede di rete
vedendo i print screen sicuramente sono due schede fisiche e una virtuale.

Quindi dal case del server devono uscire per forza due cavi di rete.
Prima cosa controlla se sono veramente due le schede e dove vanno a finire entrambi i cavi (teoricamente nelle stesso switch a giudicare dall'indirizzamento IP)

Poi da prompt di dos prova a fare un ipconfig perché voglio capire che indirizzo ha la scheda virtuale per capire a cosa serve;)

prima cosa bisogna capire bene sto discorso delle schede di rete
vedendo i print screen sicuramente sono due schede fisiche e una virtuale.

Quindi dal case del server devono uscire per forza due cavi di rete.
Prima cosa controlla se sono veramente due le schede e dove vanno a finire entrambi i cavi (teoricamente nelle stesso switch a giudicare dall'indirizzamento IP)

Poi da prompt di dos prova a fare un ipconfig perché voglio capire che indirizzo ha la scheda virtuale per capire a cosa serve;)

I 2 cavi di rete vanno entrambi nello switch ...

Ecco lo screenshot di ipconfig:

-------------------------------------

Microsoft Windows [Versione 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tutti i diritti riservati.

C:\Users\Administrator>ipconfig

Configurazione IP di Windows


Scheda Ethernet Connessione alla rete locale (LAN) 8:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Ethernet Connessione alla rete locale (LAN) 7:

Suffisso DNS specifico per connessione:
Indirizzo IPv4. . . . . . . . . . . . : 192.168.30.164
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.30.1

Scheda Ethernet Connessione alla rete locale (LAN) 4:

Suffisso DNS specifico per connessione:
Indirizzo IPv6 locale rispetto al collegamento . : fe80::d0c0:4b4b:74fb:3c8a%
15
Indirizzo IPv4 configurazione automatica : 169.254.60.138
Subnet mask . . . . . . . . . . . . . : 255.255.0.0
Gateway predefinito . . . . . . . . . :

Scheda Ethernet Connessione alla rete locale (LAN):

Suffisso DNS specifico per connessione:
Indirizzo IPv6 locale rispetto al collegamento . : fe80::19ec:a5fa:c88:ced9%1
1
Indirizzo IPv4. . . . . . . . . . . . : 192.168.30.5
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.30.1

Scheda Tunnel isatap.{8C0705A7-8A72-424E-A939-2D5F37FEAAD8}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Tunnel isatap.{D544656F-32DA-4FFF-A3EA-E2B7D18AE638}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Tunnel isatap.{69BA6327-1050-47BA-B15E-374D252A87AE}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Tunnel isatap.{F8B26B94-6768-4D57-81CE-BF4BDC9978F7}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

C:\Users\Administrator>

Avrei pensato a questo :

ZyXel Firewall USG 100 Plus
( http://www.zyxel.it/Prodotti/Scheda/ZYXUSG-100P-BUN )


Ragazzi, una curiosità: tale firewall gestisce pure il controllo dei siti web vietati per utilizzo aziendale? Tipo social network e simili?

Ragazzi, una curiosità: tale firewall gestisce pure il controllo dei siti web vietati per utilizzo aziendale? Tipo social network e simili?

si, la licenza plus te lo permette di fare
Il primo anno è incluso, poi devi rinnovarlo annualmente ;)

freddie non riesco a capire perché ci siano due schede di rete con due ip diversi :mbe:

per il resto il firewall non ha niente di particolare: classico ip pubblico sulla WAN, un normale tunnel ipsec con una preshared key, fa da server DHCP, e c'è il port forwarding di qualche porta.

L'usg 100 va bene

L'unica cosa prova a fare un print screen della pagina IPSECSUBNETS, dove dovrebbero esserci i parametri per la creazione del tunnel VPN (MD5, SHA, etc etc)

Ragazzi quello che sto pensando io è:

Se io adesso acquisto questo firewall, mica devo comprarne un'altro Zyxel (anche se di minor costo) per l'ufficio di Roma ???

Quello che già c'è può continuare ad andare bene?

O meglio, se eliminassi il firewall di Roma, (utilizzando il firewall del router Fastweb) potrebbe essere una buona soluzione?
Se si come connetto il client di Roma al dominio di Napoli?

Per il software client ZyXel abbiamo capito che c'è bisogno di acquistare le licenze... e per le connessioni VPN SSL ??????

freddie non riesco a capire perché ci siano due schede di rete con due ip diversi :mbe:


Se parli del 192.168.30.5 e del 192.168.30.164
... questo è un servizio che ha fatto chi c'era prima di me... anche io non l'ho capito...

Tu cosa mi suggerisci di fare?

E secondo te perchè ha fatto questa cosa?
Forse per qualche ruolo del server?

per il resto il firewall non ha niente di particolare: classico ip pubblico sulla WAN, un normale tunnel ipsec con una preshared key, fa da server DHCP, e c'è il port forwarding di qualche porta.

Il giorno che lo acquisterò spero di non fare cilecca!

L'usg 100 va bene

L'unica cosa prova a fare un print screen della pagina IPSECSUBNETS, dove dovrebbero esserci i parametri per la creazione del tunnel VPN (MD5, SHA, etc etc)

Farò presto un print screen

L'unica cosa prova a fare un print screen della pagina IPSECSUBNETS, dove dovrebbero esserci i parametri per la creazione del tunnel VPN (MD5, SHA, etc etc)

http://i.imgur.com/dcjnagk.jpg

adesso mi picchi :asd:

ho sbagliato io a scrivere, volevo quello della sottomaschera advanced di quella schermata :(

non mi maledire :D:D:D

comunque il fatto che abbia due indirizzi IP il server può essere solo dato dal fatto che con il secondo indirizzo IP espleti qualche servizio particolare.
Per esempio se il gestionale che gira sul server è un client server, prova a capire a che indirizzo IP puntano i client per il database ;)

adesso mi picchi :asd:

ho sbagliato io a scrivere, volevo quello della sottomaschera advanced di quella schermata :(

non mi maledire :D:D:D

Figurati, io devo solo ringraziarti per la tua disponibilità.


comunque il fatto che abbia due indirizzi IP il server può essere solo dato dal fatto che con il secondo indirizzo IP espleti qualche servizio particolare.
Per esempio se il gestionale che gira sul server è un client server, prova a capire a che indirizzo IP puntano i client per il database ;)


I client ricevono un indirizzo IP in automatico DHCP e hanno i DNS:
192.168.30.5 - 192.168.30.1


Ecco qui le schermate:

http://i.imgur.com/tRaL63i.jpg


http://i.imgur.com/yrWLSKG.jpg

Figurati, io devo solo ringraziarti per la tua disponibilità.


sono appiedato a tempo indeterminato, ho tempo da perdere :D:D



I client ricevono un indirizzo IP in automatico DHCP e hanno i DNS:
192.168.30.5 - 192.168.30.1


ok, ma forse mi sono spiegato male io

il gestionale che tipologia di programma è? su ogni client c'è un software installato che si collega al database sul server oppure le persone si connettono in desktop remoto al server per utilizzarlo?

il DNS comunque è giusto che sia 192.168.30.5 perché ho visto che c'è active directory, però il 192.168.30.1 non mi torna perché come ti dicevo i firewall non fanno servizio DNS ;)


il firewall ha metodi di crepitazione standard quindi puoi andare sul sicuro con lo zywall. Ovviamente poi dovrai trovare la combinazione giusta dei pramaetri tra uno e l'altro, ma come ti dicevo già in precedenza alla fine usano quasi tutti gli stessi standard ;)

il gestionale che tipologia di programma è? su ogni client c'è un software installato che si collega al database sul server oppure le persone si connettono in desktop remoto al server per utilizzarlo?

Il gestionale è installato solo sul Server con database SQL,
i client tramite il dominio, si prendono il collegamento del file .exe e lo lanciano sui pc.


il DNS comunque è giusto che sia 192.168.30.5 perché ho visto che c'è active directory, però il 192.168.30.1 non mi torna perché come ti dicevo i firewall non fanno servizio DNS ;)
quindi se togliessi il 192.168.30.1 (indirizzo del firewall) dai DNS tu dici che comunque dovrebbe funzionare tutta la rete?



il firewall ha metodi di crepitazione standard quindi puoi andare sul sicuro con lo zywall. Ovviamente poi dovrai trovare la combinazione giusta dei pramaetri tra uno e l'altro, ma come ti dicevo già in precedenza alla fine usano quasi tutti gli stessi standard ;)

Stai dicendo che se acquisto lo ZyXel per Napoli, e lascio il vecchio firewall a Roma, comunque deve funzionare tutto???

Il gestionale è installato solo sul Server con database SQL,
i client tramite il dominio, si prendono il collegamento del file .exe e lo lanciano sui pc.

ok quindi è un installazione standalone sul server, e questo va ad escludere che la seconda scheda di rete serva per il gestionale
(PS è sbagliato che dire che i client prendono il collegamento tramite dominio, perché a livello di applicazione Active Directory centra poco; quello che hai è un semplice collegamento via rete;))


quindi se togliessi il 192.168.30.1 (indirizzo del firewall) dai DNS tu dici che comunque dovrebbe funzionare tutta la rete?


a meno che non mi sia perso qualche pezzo i firewall non hanno mai avuto funzionalità di DNS server;


Stai dicendo che se acquisto lo ZyXel per Napoli, e lascio il vecchio firewall a Roma, comunque deve funzionare tutto???

esattamente ;)
come ti dicevo prima ci sarà solo da trovare il giusto incastro di parametri per la VPN tra Zywall e Firewall Linux :)

Oggi è sorto un nuovo problema a Roma,
La Fastweb ci è venuta a montare un nuovo router per il cambio di contratto richiesto, un technicolor tg788vn che ha come indirizzo 192.168.1.254.

A parte che il tecnico Fastweb pur di assicurarsi che tutto funzionasse, ha pensato bene di staccare i cavi del firewall e collegare il router al pc.

Il pc va su internet, ma ha messo in automatico le impostazioni della scheda di rete del pc.

Di Roma io so solo che il firewall aveva Ip 192.168.32.1

Ora il router ha indirizzo 192.168.1.254. E il pc 192.168.1.66

Ammesso anche Che il firewall fosse correttamente collegato alla rete,
e dal pc facessi un Ping al 192.168.32.1 ... dovrebbe pingarlo il firewall oppure no???

A me non pinga.

Ora se vado a Roma e ricollego in rete il firewall, sul router e sul pc quali configurazioni dovrei fare per rientrare in VPN ???

Grazie! Sono disperato!

Oggi è sorto un nuovo problema a Roma,
La Fastweb ci è venuta a montare un nuovo router per il cambio di contratto richiesto, un technicolor tg788vn che ha come indirizzo 192.168.1.254.

A parte che il tecnico Fastweb pur di assicurarsi che tutto funzionasse, ha pensato bene di staccare i cavi del firewall e collegare il router al pc.

Il pc va su internet, ma ha messo in automatico le impostazioni della scheda di rete del pc.

Di Roma io so solo che il firewall aveva Ip 192.168.32.1

Ora il router ha indirizzo 192.168.1.254. E il pc 192.168.1.66

Ammesso anche Che il firewall fosse correttamente collegato alla rete,
e dal pc facessi un Ping al 192.168.32.1 ... dovrebbe pingarlo il firewall oppure no???

A me non pinga.

Ora se vado a Roma e ricollego in rete il firewall, sul router e sul pc quali configurazioni dovrei fare per rientrare in VPN ???

Grazie! Sono disperato!

Allora vediamo un attimo se ho capito bene

E' arrivato il tecnico per attivare la nuova connessione e dopo che ha fatto tutte le sue cose ha attaccato tutto sotto il nuovo router eliminando vecchio router e vecchio firewall giusto?
(mai far fare queste cose senza la presenza di una persona tecnica e sopratutto se ha attivato tutto su un nuovo doppino diverso da quello attuale era meglio lasciarlo li in standby e andare tua fare lo spostamento ;)

Prima cosa da verificare è se su firewall era presente un IP pubblico lato WAN o se l'IP pubblico era uno solo e veniva nettato dal router tutto verso l'indirizzo del firewall.
Una volta verificato questo bisogna chiedere a fastweb di ricreare le stesse condizioni, quindi se c'erano più ip pubblici fare richiesta per quelli o se c'era il nat farselo rifare. Attento che fastweb vi dia un ip pubblico della rete internet e non della loro intranet ;)

comunque in caso il firewall fosse collegato non lo pingheresti mai perché è in una subnet completamente diversa e non credo proprio che il tecnico fastweb abbia fatto delle regole di routine per farvi raggiungere la rete del firewall (io sono convinto che ha staccato tutto ed ha collegato la rete diretta al router, senza firewall nel mezzo;))

Allora vediamo un attimo se ho capito bene


comunque in caso il firewall fosse collegato non lo pingheresti mai perché è in una subnet completamente diversa e non credo proprio che il tecnico fastweb abbia fatto delle regole di routine per farvi raggiungere la rete del firewall (io sono convinto che ha staccato tutto ed ha collegato la rete diretta al router, senza firewall nel mezzo;))

se così fosse cosa devo fare per la subnet???

se così fosse cosa devo fare???

la soluzione più semplice è quella di riattaccare tutta la tua rete dietro il firewall e poi impostare la WAN del firewall stesso sulla rete del router fastweb e farsi fare un nat completo verso il firewall, quindi tutto quello che arriva sulla WAN del router deve essere girato verso l'indirizzo che dai alla WAN del firewall ;)

Faccio un disegnino

rete interna --> lan firewall --> wan firewall --> router fastweb --> internet
192.168.32.x -> 192.168.32.1 -> 192.168.1.1 -> 192.168.1.254 -->internet

ora il mio dubbio come ho scritto nel post precedente è che non abbiate un IP pubblico internet ma della Intranet di fastweb (qualcosa tipo 2.30.45.65) e che quindi questo non è raggiungibile da rete esterna e quindi la van non si può fare. Prima di lanciarti verso Roma per provare a vedere che ip pubblico hai, dal client che è ora connesso al router falli andare su un sito tipo myip.dk e guarda cosa viene fuori ;)

comunque mi sono confrontato con l'utente Wolfhwk (che ringrazio :)) per il discorso del firewall che fa DNS perché mi si era infilata una pulce nell'orecchio :D

Da come mi ha spiegato lui anche i firewall (eventualmente anche i router) possono fare da server DNS ma quello che fanno è solamente raccogliere le richieste dai client per poi girarle ad un server esterno ed una volta che quest'ultimo ha elaborato la richiesta il firewall la rigira al client che ne ha fatto richiesta.
Quindi il ruolo che hanno è praticamente solo un "tramite", non fanno nessun tipo di elaborazione dati ;)

Nello specifico caso della tua rete, avendo tu un server di Active Directory nella tua rete che già gestisce il servizio DNS, e sopratutto visto che sei in procinto di andare a sostituire il firewall ti consiglio di impostare sui client come des primario il server interno e come secondario mettere già uno del tuo provider, in modo da non appesantire troppo il lavoro dell'eventuale Zywall ;)

Di nulla :)

Per il resto, perfettamente d'accordo.

cose strane della vita ...

dopo varie prove, il pc vedeva il firewall.

il pc prendeva automaticamente l'indirizzo : 192.168.32.170

il pc pingava il 192.168.32.1

mi potevo connettere al firewall per modificare le impostazioni, ma mancava internet.

===============

alla fine per velocizzare ho optato alla connessione VPN SSL,
ma non riesco ad entrare nel dominio windows 2008, ma vedo tutti i programmi e mi connetto al server.

Outlook connesso a Exchange NON funziona... dice "Connessione in corso" e rimane così all'infinito

quindi adesso il pc prende un indirizzo nella subnet giusto 192.168.32.x, pingi il firewall ma non navighi in internet giusto? (parliamo sempre di Roma ovviamente?;))

quindi adesso il pc prende un indirizzo nella subnet giusto 192.168.32.x, pingi il firewall ma non navighi in internet giusto? (parliamo sempre di Roma ovviamente?;))

Tutto esatto.

Ho fatto entrare l'impiegata nella configurazione del firewall, passo passò le ho spiegato cosa doveva toccare (io la seguivo tramite il firewall di Napoli visto che sono uguali, toccavamo insieme ogni scheda) ma niente...

se adesso sei attaccato sotto al router di fastweb devi andare a modificare la parte WAN del firewall, andando a mettergli un indirizzo della subnet 192.168.1.x e dandogli come gateway il router di fastweb che se non ricordo male dovrebbe essere 192.168.1.254.

Una volta fatto in questo modo dovresti riuscire per lo meno a navigare in internet.

Poi vediamo i passi successivi ;)

EDIT: assolutamente importante, prima di effettuare qualsiasi tipo di modifica sul firewall fai fare dei print screen all'impiegata o fagli segnare i parametri su un foglio

Grazie per i preziosissimi consigli. farò come dici...

una cosa non mi è chiara :muro:

la configurazione ideale sarebbe questa:


router fastweb ---> firewall ---> switch ---> client. (a Napoli è fatto così).

Ora avendo creato una VPN SSL sul Firewall di Napoli, riesco a far connettere il client di Roma... e fin qui tutto apposto... ping funziona.

DOMANDA :

Se a Roma ci fosse la configurazione come ho scritto sopra ...

e AVENDO FATTO SPEGNERE IL FIREWALL a Roma...

il client non avrebbe la connessione ad internet
perchè ho fatto spegnere il firewall di Roma
e di conseguenza il collegamento tra il router di fastweb e il Client non ci dovrebbe essere!

Router di Fastweb ---> firewall spento ---> switch ---> client


Giusto ???


Allora sto iniziando a pensare... che la configurazione attuale a Roma è la seguente:

Router di Fastweb ---> switch ---> client e firewall TUTTI dietro switch (e ciò è sbagliato)

Vi trovate???

adesso non so se questo servizietto l'ha fatto il tecnico di fastweb ... che senza criterio ha staccato tutti i cavi e li ha rimessi alla capa di *** .

Grazie per i preziosissimi consigli. farò come dici...

una cosa non mi è chiara :muro:

la configurazione ideale sarebbe questa:


router fastweb ---> firewall ---> switch ---> client. (a Napoli è fatto così).



esattamente ;)



Ora avendo creato una VPN SSL sul Firewall di Napoli, riesco a far connettere il client di Roma... e fin qui tutto apposto... ping funziona.

DOMANDA :

Se a Roma ci fosse la configurazione come ho scritto sopra ...

e AVENDO FATTO SPEGNERE IL FIREWALL a Roma...

il client non avrebbe la connessione ad internet
perchè ho fatto spegnere il firewall di Roma
e di conseguenza il collegamento tra il router di fastweb e il Client non ci dovrebbe essere!

Router di Fastweb ---> firewall spento ---> switch ---> client

Giusto ???


il ragionamento non fa una piega :)


Allora sto iniziando a pensare... che la configurazione attuale a Roma è la seguente:

Router di Fastweb ---> switch ---> client e firewall TUTTI dietro switch (e ciò è sbagliato)

Vi trovate???

adesso non so se questo servizietto l'ha fatto il tecnico di fastweb ... che senza criterio ha staccato tutti i cavi e li ha rimessi alla capa di *** .

penso anche io che sia così la configurazione

A questo punto però teoricamente il client per navigare in internet ha bisogno di un indirizzo della rete 192.168.1.x e come gateway 192.168.1.254. Il problema di navigazione poteva essere dato dal fatto che (con la configurazione ad minkiam lasciata dal tecnico) sia il router di fastweb che il tuo firewall hanno il servizio DHCP abilitato e "fanno a gara" su chi deve assegnare l'ip al client. Solo che se lo prende dal router il client naviga ma non puoi mai pingare l'ip del firewall, ma se invece l'indirizzo lo prende dal firewall non potrà mai navigare ma riuscirai a pingare il firewall ;)

A questo punto però teoricamente il client per navigare in internet ha bisogno di un indirizzo della rete 192.168.1.x e come gateway 192.168.1.254. Il problema di navigazione poteva essere dato dal fatto che (con la configurazione ad minkiam lasciata dal tecnico) sia il router di fastweb che il tuo firewall hanno il servizio DHCP abilitato e "fanno a gara" su chi deve assegnare l'ip al client. Solo che se lo prende dal router il client naviga ma non puoi mai pingare l'ip del firewall, ma se invece l'indirizzo lo prende dal firewall non potrà mai navigare ma riuscirai a pingare il firewall ;)

Adesso il mio obiettivo è questo:

Visto che :

1) Non ho voglia di andare a Roma.
2)Nell'ufficio di Roma c'è solo un Client Windows 7.


A me non mi frega della VPN Site to Site... quindi mando il Firewall di Roma in Pensione.

Opto per una VPN SSL Client to Site. (faccio male ???)


L'importante però che il client di Roma possa entrare nel dominio del Server di Napoli (come faceva fino a poco tempo fa).

Possa utilizzare il Desktop Remoto verso Server di Napoli (che ora funziona ... prima l'indirizzo era lenovo-server ora per funzionare deve essere 192.168.30.5).


e che possa Utilizzare Outlook tramite Server di Exchange.

============

e adesso viene il bello ! :muro: :muro: :muro: :muro:

Adesso il mio obiettivo è questo:

Visto che :

1) Non ho voglia di andare a Roma.
2)Nell'ufficio di Roma c'è solo un Client Windows 7.


A me non mi frega della VPN Site to Site... quindi mando il Firewall di Roma in Pensione.

Opto per una VPN SSL Client to Site. (faccio male ???)


L'importante però che il client di Roma possa entrare nel dominio del Server di Napoli (come faceva fino a poco tempo fa).

Possa utilizzare il Desktop Remoto verso Server di Napoli (che ora funziona ... prima l'indirizzo era lenovo-server ora per funzionare deve essere 192.168.30.5).


e che possa Utilizzare Outlook tramite Server di Exchange.

============

e adesso viene il bello ! :muro: :muro: :muro: :muro:

rieccomi :)

allora il discorso che fai te non è per niente sbagliato :)

personalmente se si trattava di due sedi fisse ho sempre preferito fare una VPN IPsec, perché comunque avevo più libertà di manovra in entrambi i versi della VPN, per esempio sul discorso di installazione delle stampanti (per esempio fare un documento in una sede e lanciare la stampa su una stampante in un altra sede), cartelle condivise e quant'altro.

Nella tua situazione abbiamo anche un exchange di mezzo, e alcune volte mi è capitato di avere problemi (stupidi, ma pur sempre problemi erano).
Capisco che a Roma non ci vuoi andare (un po di aria fresca fa sempre bene :)) però a questo punto a mio pare conviene mettere uno Zywall usg100 nella sede principale, e a Roma uno Zywall usg20 (gestisce 5 client, ed esiste anche il modello wireless) così hai una bella VPN pulita senza problemi.
Se scegli questa opzione devi fare attenzione alla connessione di Roma: prima cosa come ti dicevo oggi vai su myip.dk e guarda che ip pubblico viene fuori perché quello potrebbe essere un limite.

Comunque entrambe le soluzioni sono valide, sta a te la scelta ;)

EDIT --> se usi la VPN SSL sul server devi avere licenze terminal installate sennò devi far connettere la persona di Roma come utente amministratore e non è l'ideale ;)

EDIT2 --> la fattura per la consulenza dove la invio? :D:D:D:D

rieccomi :)

allora il discorso che fai te non è per niente sbagliato :)

personalmente se si trattava di due sedi fisse ho sempre preferito fare una VPN IPsec, perché comunque avevo più libertà di manovra in entrambi i versi della VPN, per esempio sul discorso di installazione delle stampanti (per esempio fare un documento in una sede e lanciare la stampa su una stampante in un altra sede), cartelle condivise e quant'altro.

Sono d'accordo con te...


Nella tua situazione abbiamo anche un exchange di mezzo, e alcune volte mi è capitato di avere problemi (stupidi, ma pur sempre problemi erano).
Capisco che a Roma non ci vuoi andare (un po di aria fresca fa sempre bene :)) però a questo punto a mio pare conviene mettere uno Zywall usg100 nella sede principale, e a Roma uno Zywall usg20 (gestisce 5 client, ed esiste anche il modello wireless) così hai una bella VPN pulita senza problemi.
Se scegli questa opzione devi fare attenzione alla connessione di Roma: prima cosa come ti dicevo oggi vai su myip.dk e guarda che ip pubblico viene fuori perché quello potrebbe essere un limite.
Comunque entrambe le soluzioni sono valide, sta a te la scelta ;)



Capisco benissimo che una VPN site to site è la miglior soluzione...

Non mi va di andare a Roma, perchè già il tempo è poco, poi la paga è una miseria (accordo di assistenza di 150€ al mese per Napoli e per Roma, senza pagamento EXTRA di trasferte, ma con rimborso spese per i viaggi a Roma... NB: quando vado in ufficio a Napoli, il parcheggio me lo devo pagare io).

- Cosa significa che lo ZyWall usg 20 gestisce solo 5 client???
se dovessi mettere un sesto pc, non funzionerebbe?

- L'ip Pubblico di Roma è Fisso ed è 93.xxx.xxx.120

- si può fare la VPN SSL per i client in mobilità con lo ZyWall 100 plus senza pagare ulteriori costi di licenze?


EDIT --> se usi la VPN SSL sul server devi avere licenze terminal installate sennò devi far connettere la persona di Roma come utente amministratore e non è l'ideale ;)

Abbiamo già acquistato licenze RDS cals su Windows server 2008, e l'impiegata di Roma usa il Desktop Remoto per lavorare con il Gestionale, perchè da VPN site to site è troppo lento.



EDIT2 --> la fattura per la consulenza dove la invio? :D:D:D:D
[/QUOTE]

Te la pagherei volentieri la consulenza, ma soprattutto la gentilezza e la disponibilità, se dovessi venire a Napoli, ti offrirei volentieri una Pizza Napoletana con annesso giro turistico.

Sono d'accordo con te...



Capisco benissimo che una VPN site to site è la miglior soluzione...

Non mi va di andare a Roma, perchè già il tempo è poco, poi la paga è una miseria (accordo di assistenza di 150€ al mese per Napoli e per Roma, senza pagamento EXTRA di trasferte, ma con rimborso spese per i viaggi a Roma... NB: quando vado in ufficio a Napoli, il parcheggio me lo devo pagare io).


questo è un problema ;)


- Cosa significa che lo ZyWall usg 20 gestisce solo 5 client???
se dovessi mettere un sesto pc, non funzionerebbe?


ti dico la verità, non mi ricordo mica come funziona :D
se non sbaglio e solo un consiglio per indicarti quanto carico può sopportare il dispositivo, infatti se guardi sul sito zyxell parla di dimensionamento ;)


- L'ip Pubblico di Roma è Fisso ed è 93.xxx.xxx.120


ottimo, non è un IP della intranet fastweb, quindi è raggiungibile ;)


- si può fare la VPN SSL per i client in mobilità con lo ZyWall 100 plus senza pagare ulteriori costi di licenze?


http://www.zyxel.it/Prodotti/Scheda/ZYXUSG-100P-BUN
se guardi il link, in fondo alla pagina trovi una tabella comparativa che spiega perfettamente cosa è incluso di base e cosa possono supportare al massimo i vari dispositivi (tra l'altro USG20 ha unlimited user, quindi non ci sono problemi di utenti;)
Nel 100 plus ci sono 2 VPN SSL incluse, per averne di più bisogna prendere le licenze aggiuntive(guarda la stessa pagina, ma la scheda security license in fondo;))


Abbiamo già acquistato licenze RDS cals su Windows server 2008, e l'impiegata di Roma usa il Desktop Remoto per lavorare con il Gestionale, perchè da VPN site to site è troppo lento.


scelta giusta, immagino con stampante di Roma installata sul server via VPN per le stampe :)


Te la pagherei volentieri la consulenza, ma soprattutto la gentilezza e la disponibilità, se dovessi venire a Napoli, ti offrirei volentieri una Pizza Napoletana con annesso giro turistico.

gradisco :D:D:D:D

Buongiorno,

riapro una discussione da me iniziata un paio di mesi fa...

In questi giorni acquisterò il Firewall Zyxel USG 100 Plus.

Vorrei chiedere una cosa...

Momentaneamente ho deciso di montarlo solo nell'ufficio di Napoli, e il client di Roma inizia a lavorare in VPN SSL.

Quando lo collego, devo solo inserire i parametri di Gateway, DNS etc etc ?

Mi spiegate tutto ciò che bisogna fare affinchè la rete locale di Napoli funzioni, tutti i client vedano il server e si vedano tra loro?

Questo firewall funziona come Gateway ?

Thank you

ciao a tutti,

ho acquistato lo ZyXel USG 100 plus...

vado su internet... ma non riesco a configurare la VPN SSL ...

qualcuno mi aiuti :cry: :cry: :cry:

Ho seguito questa guida : http://www.youtube.com/watch?v=SXHg_ivu6zc

faccio tutto!

poi da un altro pc fuori dalla rete digito l'ip pubblico ... non si apre niente

Internet Explorer: "Non riesco a visualizzare questa pagina"

Help pleaseeee