Salve a tutti, volevo un consiglio riguardo la configurazione di una vpn.

La necessità è quella di creare una vpn tra la sede qui in italia e la sede all'estero della società per cui lavoro.

Nel sede italiana abbiamo ip pubblico e non ci sarebbe nessun tipo di problema. La cosa si complica nella sede estera, dove l'ip pubblico costa uno sproposito. Abbiamo ricevuto diverse offerte da consulenti esterni ed essendo io un po a digiuno di vpn su larga scala come questa ho pensato di chiedere consiglio qui sul forum.

Le necessità principali sono quelle di condividere il file server e secondariamente utilizzare la vpn per collegare i telefoni delle due sedi.

Le offerte sono state principalmente due:


L'ip pubblico è necessario, tutte le altre soluzioni sono da scartare a priori
Progetto di rete MPLS con costi che si aggirano intorno ai 20.000 euro mensili per una 10 Mbps


Ho configurato diverse vpn "casalinghe", ovviamente non sono paragonabili a la vpn che si dovrà andare a creare, sia per sicurezza, banda, stabilità ecc...

Ma non c'e una via di mezzo?

Grazie a tutti

guarda che se la banda è abbastanza (attualmente) non c'è bisogno di due ip statici perché una delle due sedi si collegherà alla sede con l'ip statico

io per fare quello che chiedi da un cliente ho messo due pfsense e attivato una vpn tra questi due firewall

per quanto riguarda la telefonia usano due asterisk con un trunk che li collega

ho qualche dubbio sulla effettiva velocità nell'aprire file di grosse dimensioni sul file server remoto, studierei una soluzione che consenta di avere delle copie sincronizzate in locale

ciao,
Marco

Nel sede italiana abbiamo ip pubblico e non ci sarebbe nessun tipo di problema. La cosa si complica nella sede estera, dove l'ip pubblico costa uno sproposito.

confermo quel che dice linux_goblin, basta che l'ip pubblico sia presente solo in una sede.

Per pignoleria.. in una sede è meglio avere un ip pubblico statico.

Per pignoleria.. in una sede è meglio avere un ip pubblico statico.

si, intendevo pubblico E statico :-)

Anche in base alle mie conoscenze la cosa è fattibile.

Per quanto riguarda la banda, in sede abbiamo una 10/10 Mbit. Nella sedere remoto credo che la situazione sia peggiore, forse una normale 20 mega, con forse un Mega scarso in upload.

Ho già proposto questa soluzione, vediamo che dicono i grandi capi :)

Jacky87, ma per le VPN casalinghe come hai fatto?
Io da tempo cerco un modo per farne una con casa mia.

Il mio router Netgear DGN2200 mi chiede l'IP pubblico dell'altra rete con cui voglio collegarmi ma io vorrei collegarmici tipo con il mio portatile da un bar con WiFi e quindi non penso che sia quello che fa per me.

Jacky87, ma per le VPN casalinghe come hai fatto?
Io da tempo cerco un modo per farne una con casa mia.

Il mio router Netgear DGN2200 mi chiede l'IP pubblico dell'altra rete con cui voglio collegarmi ma io vorrei collegarmici tipo con il mio portatile da un bar con WiFi e quindi non penso che sia quello che fa per me.
Ciao,
ti serve un IP pubblico abilitato sul router sul quale andrà configurato il servizio e successivamente dal client configurato sul tuo PC potrai connetterti alla rete.

BMW

Jacky87, ma per le VPN casalinghe come hai fatto?
Io da tempo cerco un modo per farne una con casa mia.

Il mio router Netgear DGN2200 mi chiede l'IP pubblico dell'altra rete con cui voglio collegarmi ma io vorrei collegarmici tipo con il mio portatile da un bar con WiFi e quindi non penso che sia quello che fa per me.

Ciao, scusa il ritardo. Alla mancanza dell'ip pubblico statico io ho ovviato cosi:
-ho un piccolo server a casa sempre acceso.
-il server periodicamente controlla l'ip pubblico, se diverso dall'ultimo in memoria lo comunica ad un mio server di hosting.
-quando devo connettermi mi collego al mio hosting e recupero l'ip di casa.

Un po' macchinoso, ma funziona. Di base una copia dei servizi quali ddns ecc...

guarda che se la banda è abbastanza (attualmente) non c'è bisogno di due ip statici perché una delle due sedi si collegherà alla sede con l'ip statico

io per fare quello che chiedi da un cliente ho messo due pfsense e attivato una vpn tra questi due firewall

per quanto riguarda la telefonia usano due asterisk con un trunk che li collega

ho qualche dubbio sulla effettiva velocità nell'aprire file di grosse dimensioni sul file server remoto, studierei una soluzione che consenta di avere delle copie sincronizzate in locale

ciao,
Marco

Ciao linux_goblin ho alcuni aggiornamenti. In sede qui a roma abbiamo una 10/10 Mbps garantita, mentre nella sede estera c'e una 100 mega in fibra, con test che in media si aggirano a circa 50 Mega in download e 20 in Up.

Ti posso chiedere ulteriori dettagli sulle possibilità che ho? Andando ad installare una pfsense (o chi per lei) nella sede estera avrei la possibilità di fare una vpn site-to-site? O client-to-site con la sede estera (client) che si connette alla sede italiana (server)?

Inoltre (qui ho alcune lacune in merito) posso utilizzare IPSEC?

Quali sarebbo gli svantaggi rispetto ad avere due ip statici?

Grazie

Ciao, scusa il ritardo. Alla mancanza dell'ip pubblico statico io ho ovviato cosi:
-ho un piccolo server a casa sempre acceso.
-il server periodicamente controlla l'ip pubblico, se diverso dall'ultimo in memoria lo comunica ad un mio server di hosting.
-quando devo connettermi mi collego al mio hosting e recupero l'ip di casa.

Un po' macchinoso, ma funziona. Di base una copia dei servizi quali ddns ecc...Ah OK, comunque io sbagliavo impostazione del router perché cercavo di configurare un VPN con un'altra infrastruttura ed invece devo selezionare Single PC.

Comunque il Wizard configura il router per la connessione VPN ma poi non ho idea di come procedere. Ho provato a creare una connessione VPN ma intanto come username non so cosa mettere perché nella creazione non viene chiesta e poi non so gli altri parametri.

io ho usato openvpn su pfsense seguendo questa guida
https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
(https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site)

se non hai ip statico e pubblico potrebbe essere un problema e cioè se imposti il tutto con l'ip attualmente assegnato poi dopo un riavvio del router le due sedi non comunicano più finchè non imposti a mano il nuovo ip nella configurazione

ciao,
Marco

io ho usato openvpn su pfsense seguendo questa guida
https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
(https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site)

se non hai ip statico e pubblico potrebbe essere un problema e cioè se imposti il tutto con l'ip attualmente assegnato poi dopo un riavvio del router le due sedi non comunicano più finchè non imposti a mano il nuovo ip nella configurazione

ciao,
Marco

In una sede ho ip statico e pubblico, e sarebbe lei a fare da server. In pratica quando nella seconda sede con ip dinamico quest'ultimo cambia, si deve ristabilire il link. Alcune domande a riguardo:

Nella sede server immagino posso scegliere di accettare connessione da qualunque ip. Cosi facendo diminuisce un po' la sicurezza, però si evita di dover cambiare configurazione ad ogni cambio ip della sede client. Correggimi se sbaglio.
Quando il link cade, posso usare una sorta di task programmato che ogni per esempio 15 minuti esegue un controllo e ristabilisce il link, giusto?
Posso utilizzare sia ssl che ipsec anche essendo client-to-site?


Grazie,
Francesco

1.Nella sede server immagino posso scegliere di accettare connessione da qualunque ip. Cosi facendo diminuisce un po' la sicurezza, però si evita di dover cambiare configurazione ad ogni cambio ip della sede client. Correggimi se sbaglio.

di default qualsiasi ip si può collegare perché quello che rende sicura la connessione sono le chiavi pubblica e privata (se non hai il giusto file non riesci a connetterti)


2.Quando il link cade, posso usare una sorta di task programmato che ogni per esempio 15 minuti esegue un controllo e ristabilisce il link, giusto?

non è necessario alcuno script perché la connessione viene "tirata su" automaticamente se persa, anche dopo un riavvio di qualsiasi pfsense


3.Posso utilizzare sia ssl che ipsec anche essendo client-to-site?

secondo me si ma ti consiglio di seguire la guida che ti ho linkato
https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site

ciao,
Marco

Ciao a tutti,
premetto di non essere esperto del programma.
Ho scarico OpenVPN (openvpn-install-2.3.18-I002-x86_64.exe). Ho seguito passo a passo la configurazione sia del server sia del client riuscendo a connettore questi ultimi con l'indirizzo virtuale (TAP) che gli ho assegnato. Il passo successivo sarebbe quello di riuscire a pingare l'indirizzo virtuale del client sul server e viceversa quello del server sul client ma mi risponde sempre con "risposta scaduta", qualcuno che conosce molto meglio di me il sistema saprebbe dirmi il motivo?
Grazie in anticipo
Matteo