Buongiorno a tutti e buon Week End a tutti!

Vi scrivo perchè ho un problema con il Firewall Zyxel USG 100 PLUS.

Ho montato il firewall, ho fatto le piccole configurazioni di base, i client vanno in internet e funziona la rete .

Ora però ...

... ho bisogno di collegare un pc tramite SSL VPN (questo firewall offre 2 licenze connessioni gratuite).

Ho seguito passo passo questa guida di youtube:
https://www.youtube.com/watch?v=SXHg_ivu6zc

ma purtroppo quando da client esterno alla mia rete vado a visitare l'ip pubblico al quale è collegato il firewall non compare la pagina di login... ma semplicemente "Non riesco a visualizzare la pagina".

Ciò che chiedo io... ci sono delle operazioni preliminari da effettuare che io non faccio?

Ve ne sarei grato se riusciste ad aiutarmi:) :)

Ragazzi cerco di fare un po' di ordine:

ecco la mia situazione:

Sto facendo delle prove a casa...

Router 192.168.1.1 ---> Firewall 192.168.30.1 ---> client (dhcp)

--------------------------------

In internet ci navigo ... il client prende un IP 192.168.30.XXX

--------------------------------

Il router assegna un IP WAN1 al Firewall con DHCP : 192.168.1.6

e di conseguenza il Firewall è impostato con indirizzo 192.168.30.1 su LAN1

in amministrazione del firewall ci entro digitando 192.168.30.1

-------------------------------

Quello che chiedo io ... sul router devo fare un NAT?

Perche se digito dall'esterno della mia rete l'ip pubblico... questo non vede niente?

Ringrazio anticipatamente !

Help Me :cry: :cry: :cry:

cercando in rete, dovrebbe utilizzare la porta 443.

sul router configura il port forwarding della 443 verso l'ip interno dello zyxel.

una nota: questa vpn ssl non e' un gran che, sfrutta activex sul client per stabilire la connessione. activex funziona solo su windows, e nemmeno su tutte le sue incarnazioni moderne.

controlla se esiste ipsec/l2tp

hai anche l'alternativa se usi un provider amichevole come telecom di configurare il router per fare anche da bridge pppoe ed iniziare sul zyxel una sessione pppoe per ottenere un secondo ip pubblico sul dispositivo

cercando in rete, dovrebbe utilizzare la porta 443.

sul router configura il port forwarding della 443 verso l'ip interno dello zyxel.

una nota: questa vpn ssl non e' un gran che, sfrutta activex sul client per stabilire la connessione. activex funziona solo su windows, e nemmeno su tutte le sue incarnazioni moderne.

controlla se esiste ipsec/l2tp

hai anche l'alternativa se usi un provider amichevole come telecom di configurare il router per fare anche da bridge pppoe ed iniziare sul zyxel una sessione pppoe per ottenere un secondo ip pubblico sul dispositivo

il nostro provider è fastweb... ma al momento sto provando questo firewall a casa che ho infostrada.

adesso non so se posso fare ciò che mi consigli...


a me sta bene anche la VPN SSL ... tanto abbiamo solo pc windows compreso il server.

Help Me :cry: :cry: :cry:

il nostro provider è fastweb... ma al momento sto provando questo firewall a casa che ho infostrada.

adesso non so se posso fare ciò che mi consigli...


a me sta bene anche la VPN SSL ... tanto abbiamo solo pc windows compreso il server.

Help Me :cry: :cry: :cry:


una cosa te l'ho detta: port forward sul router con ip pubblico della porta 443 tcp alla porta 443 di 192.168.30.1, ed avrai la tua "vpn ssl".

ora, siccome mi pare di capire che al router non hai piu' collegato niente, e che tutti i client sono connessi al firewall zyxel, potresti configurare il router per fare nat 1:1. siccome e' di sicuro una ciofega commerciale, questo non e' possibile.

in compenso puoi provare, se si tratta di adsl, a DISABILITARE la connessione PPPoE sul router adsl, impostarlo per funzionare come relay/bridge PPPoE, e fare iniziare la connessione PPPoE al provider direttamente al Zyxel. In questo modo il modem/router adsl fara' solo da modem adsl, e la connessione col provider, l'IP pubblico, sara' direttamente assegnato allo zyxel, tagliando la testa al toro circa nat e port forwarding.

per come farlo, se e' possibile, bisogna vedere il manuale del modem router adsl.

se usi fastweb, questo e' un ulteriore problema per due motivi:
-l'ip pubblico (statico!) devi richiederlo al 192193. e' gratis.
-fastweb non usa PPP ma "atm route-bridged ip" (1482 bridged ip) direttamente sul PVC atm. quindi il trucco del bridge/proxy/relay pppoe non funzionerebbe, servirebbe un modem non certo 'da supermercato' per creare un bridge tra la porta ethernet a cui e' collegato lo zyxel ed il permanent virtual circuit ATM. ed a questo punto, un prodotto simile farebbe gia' da vpn.
ma puoi comunque configurare il port forwarding.

altra cosa: perche' non usi direttamente il server che dici di avere in casa? la vpn sara' certamente migliore di quell'accrocchio ssl con activex in funzione su una cpu a criceti.
activex presenta molti problemi di sicurezza, e' filtrato su versioni moderne di IE, funziona solo su IE, pian piano verra' abbandonato da microsoft (specie su versioni windows non x86 e 'metro'), non ti permette accesso da cellulari e tablet.

prova a vedere ipsec/l2tp (preferisco direttamente e solo IKEv2, ma non e' molto usato), che e' supportato ovunque, pptp, di microsoft ma poco sicuro (di sicuro facilmente configurabile su windows server) ed openvpn, che e' ssl. sulle vpn ssl, guarda anche anyconnect di cisco, funziona molto bene, ha client per ogni piattaforma ed anche implementazioni sia server che client opensource (openconnect)

una cosa te l'ho detta: port forward sul router con ip pubblico della porta 443 tcp alla porta 443 di 192.168.30.1, ed avrai la tua "vpn ssl".
provo e ti faccio sapere.



ora, siccome mi pare di capire che al router non hai piu' collegato niente, e che tutti i client sono connessi al firewall zyxel, potresti configurare il router per fare nat 1:1. siccome e' di sicuro una ciofega commerciale, questo non e' possibile.

:D lo fa il nat 1:1 sia il router e sia lo zyxel



in compenso puoi provare, se si tratta di adsl, a DISABILITARE la connessione PPPoE sul router adsl, impostarlo per funzionare come relay/bridge PPPoE, e fare iniziare la connessione PPPoE al provider direttamente al Zyxel. In questo modo il modem/router adsl fara' solo da modem adsl, e la connessione col provider, l'IP pubblico, sara' direttamente assegnato allo zyxel, tagliando la testa al toro circa nat e port forwarding.

per come farlo, se e' possibile, bisogna vedere il manuale del modem router adsl.


se usi fastweb, questo e' un ulteriore problema per due motivi:
-l'ip pubblico (statico!) devi richiederlo al 192193. e' gratis.
-fastweb non usa PPP ma "atm route-bridged ip" (1482 bridged ip) direttamente sul PVC atm. quindi il trucco del bridge/proxy/relay pppoe non funzionerebbe, servirebbe un modem non certo 'da supermercato' per creare un bridge tra la porta ethernet a cui e' collegato lo zyxel ed il permanent virtual circuit ATM. ed a questo punto, un prodotto simile farebbe gia' da vpn.
ma puoi comunque configurare il port forwarding.


in ufficio, dove verrà montato il firewall zyxel, abbiamo Fastweb con router che ci hanno offerto loro, che non è possibile amministrare.



altra cosa: perche' non usi direttamente il server che dici di avere in casa? la vpn sara' certamente migliore di quell'accrocchio ssl con activex in funzione su una cpu a criceti.
activex presenta molti problemi di sicurezza, e' filtrato su versioni moderne di IE, funziona solo su IE, pian piano verra' abbandonato da microsoft (specie su versioni windows non x86 e 'metro'), non ti permette accesso da cellulari e tablet.


diciamo che la nostra struttura era fatta con VPN site to site. (Napoli Roma con 2 firewall)

il firewall di Roma si è rotto e io devo fare in modo di far connettere almeno momentaneamente l'unico client di Roma a Napoli.

[/QUOTE]



prova a vedere ipsec/l2tp (preferisco direttamente e solo IKEv2, ma non e' molto usato), che e' supportato ovunque, pptp, di microsoft ma poco sicuro (di sicuro facilmente configurabile su windows server) ed openvpn, che e' ssl. sulle vpn ssl, guarda anche anyconnect di cisco, funziona molto bene, ha client per ogni piattaforma ed anche implementazioni sia server che client opensource (openconnect)

Quindi mi consigli di far connettere direttamente il client di Roma con software vpn direttamente al server Windows 2008 con openvpn o anyconnect ?

un'altra cosa che ti permette di ottenere il risultato anche con router adsl economici e' di usare la funzione DMZ sicuramente presente anche su questi ultimi, mettendo lo zyxel in dmz, in modo che sia accessibile dall'esterno. attento a non esporre pero' troppi servizi, che so, la configurazione del firewall, accesso cli, etc

viste ore le risposte.
quindi siete cliente aziendale, gia' meglio. pensavo ad un utente domestico od al massimo un ufficio soho su hardware domestico.

non puoi configurare i router in comodato fastweb, ma puoi richiedere a loro di configurarli (anche da remoto credo), giusto?

puoi chiedere di configurarli per fare il forward delle porte allo zyxel, o per metterlo in dmz.

(se la connessione e' una sola, con un solo ip pubblico ed e' usata anche da dispositivi che non saranno dietro allo zyxel la nat 1:1 non e' adatta)

comunque si', userei windows server se possibile. la vpn sullo zyxel e' uno scherzo, non qualcosa che farei usare ad un cliente.

trattandosi di windows server eviterei openvpn, openconnect/anyconnect ed utilizzerei quanto gia' mette a disposizione microsoft

io sono per IPSEC puro (ikev2): http://technet.microsoft.com/it-it/library/ff687731%28v=ws.10%29.aspx

tutti pero' usano il piu' comodo l2tp/ipsec: http://technet.microsoft.com/it-it/library/ff687761%28v=ws.10%29.aspx


c'e' anche pptp che e' nativo microsoft ma e' insicuro

Mi consigli di abilitare la vpn nei ruoli di Windows Server?

molte guide che ho visto usano pptp, che come ho detto e' insicuro, od una combinazione vulnerabile di ipsec+l2tp: ipsec che 'protegge' con chiave precondivisa (basta conoscere questa, e solitamente e' MOLTO condivisa, per impersonare il server, fare un mitm ed intercettare il traffico), e poi autentica l'utente con l2tp, con una coppia username/password, che serve ad evitare accessi non autorizzati ma non da alcuna cifratura o autenticazione del server.

ho trovato questa guida quasi passo-passo per windows 2008 che non e' male: http://technet.microsoft.com/en-us/library/dd637783%28WS.10%29.aspx

il consiglio comunque e' quello...

se la soluzione davvero deve essere rapidissima e durre pochi giorni, allora lascerei lo zyxel, chiederei a fastweb di configurare la dmz per lo zyxel ed a monte di questo collegherei le risorse a cui il cliente deve accedere, e solo quelle

Allora la situazione è questa :

Il router assegna al firewall alla porta WAN1 l'indirizzo 192.168.1.6

https://imagizer.imageshack.us/v2/607x294q90/536/Jpu2n4.jpg


vado in DMZ del router e attivo 1to1 NAT :

https://imagizer.imageshack.us/v2/607x319q90/913/ZgORu0.jpg

sempre nel router apro le porte 443 su 192.168.1.6 :

https://imagizer.imageshack.us/v2/607x280q90/901/rFXq3P.jpg


e questo è il mio firewall:

https://imagizer.imageshack.us/v2/607x411q90/540/RvEqDt.jpg


ma quando digito l'ip pubblico da internet explorer ... mi da errore.

una cosa e' il port forwarding/PAT della nat.
un'altra e' il NAT 1:1
un'altra ancora e' una DMZ.

tu che vuoi ottenere?
innanzitutto allo zyxel imposti un ip statico (direttamente dallo zyxel)

il firewall e' nella rete insieme ad altri client connessi direttamente al router, conosci esattamente le porte per la vpn e vuoi esporre solo quelle? ==> port forwarding

hai solo lo zyxel da ora in poi, nessun dispositivo direttamente connesso al router, tutti dietro lo zyxel? ==> nat 1:1 verso l'ip dello zyxel. praticamente gli 'dedichi' l'ip pubblico.

lo zyxel e' temporaneo, ed hai altri host nella rete non direttamente connessi allo zyxel?
DMZ allo zyxel. nota che con la dmz lo zyxel non potra' contattare gli altri computer connessi al router e non ad esso.
nota che con la DMZ qualsiasi porta esterna per cui non esista una regola di port forwarding verra' inoltrata allo zyxel in dmz.
questo comporta che:
-NON devi impostare port forwarding con la dmz, fa gia' in automatico e cosi' rovini tutto
-tutti i servizi dello zyxel saranno esposti con conseguenti problemi di sicurezza.

poi non ho capito, imposti una NAT 1:1 ANCHE sullo zyxel che e' esso stesso server vpn, dando come ip destinazione quello che aveva lo zyxel nella rete di casa?

Anche io penso di aver configurato male lo zyxel.

Ma partiamo dal principio:

Zyxel ---> porta Wan1 con ip statico 192.168.1.6

Router ---> dmz IP Pubblico su 192.168.1.6

Router ---> ho aperto la porta 443 su 192.168.1.6

Fin qui tutto bene ?

---------------------------------------

Sullo zyxel, interfaccia Lan1

ip 192.168.30.1

server dhcp attivo che da ip ai client connessi al firewall da 192.168.30.2 192.168.30.254.

---------------------------------------

Come avrai capito, sono una capra... :D :D :D


Ti chiedo di aiutarmi a configurare la connessione SSL VPN e a non fare cavolate.


Come procedo alla configurazione dello zyxel?

Ragazzi,

un amico mi ha consigliato di configurare il router in Bridge Mode, e configurare lo zyxel in ppp ethernet ...


è giusto?

l'ip 192.168.1.6 mi pareva dhcp, non statico.

2, ok per la dmz, ma come avevo scritto, con la dmz non serve configurare port forwarding, anzi...

3, si e' giusto sulle adsl, era quello che avevo, appunto, scritto: relay pppoe, sessione pppoe iniziata sullo zyxel per fargli ottenere direttamente l'ip pubblico.

peccato che hai scritto di usare fastweb, e fastweb NON fa proprio nessun uso di PPP: usano atm route-bridged ip, ed il trucco non funziona.

puoi fare un bridge tra la porta eth del router a cui e' collegato lo zyxel e il VC ATM usato da fastweb, poi configurare lo zyxel per ottenere ip in quel modo. non credo sia supportato.

l'ip 192.168.1.6 mi pareva dhcp, non statico.

2, ok per la dmz, ma come avevo scritto, con la dmz non serve configurare port forwarding, anzi...

3, si e' giusto sulle adsl, era quello che avevo, appunto, scritto: relay pppoe, sessione pppoe iniziata sullo zyxel per fargli ottenere direttamente l'ip pubblico.

peccato che hai scritto di usare fastweb, e fastweb NON fa proprio nessun uso di PPP: usano atm route-bridged ip, ed il trucco non funziona.

puoi fare un bridge tra la porta eth del router a cui e' collegato lo zyxel e il VC ATM usato da fastweb, poi configurare lo zyxel per ottenere ip in quel modo. non credo sia supportato.