Rete VPN

[iceone]

Ciao a tutti devo creare per un mio amico una vpn tra 3 negozi per far girare un programma di gestione sotto windows server 2003 ma nn so come fare .
Ogni sede ha almeno un pc e 2 una rete lan.... aiuto mi date qualche consiglio?

[fede1983]

Buona fortuna....io nn sto riuscendo a far funzionare active directory, figuriamoci una roba del genere...

[iceone]

Quote:

Originariamente inviato da fede1983

Buona fortuna....io nn sto riuscendo a far funzionare active directory, figuriamoci una roba del genere...

:help

[hmetal]

se hai piu di un pc per lan, è necessario configurare 3 connessioni site-to-site.

Essenzialmente 3 firewall che si apriranno delle connessioni tra di loro in modo tale che alla fine tu avrai una sola lan logica.

Avendo un pc solo per lan, potresti semplicemente configurare una connessione pptp verso un firewall della sede dove c'è il server. In tutti i casi dipende molto da quello che hai.

-firewall?
-router?
-hai ip pubblici statici?

in base a questo si decide.

Ti dico già che implementare tutto con router di fascia bassa (Che non supportano il site to site) e di brand diverso uno dall'altro, e senza utilizzare ip pubblici ma servizi tipo dydns è un operazione ardua...ma fattibile.

L'ideale è avere 3 firewall distinti (non firewall router) e ip pubblici statici.

Dipende dal budget.
ciao

[iceone]

Grazie innanzitutto per la risposta.
Allora ti fornisco altre info.
Il parco pc è da rifare su su tutti i negozi quindi posso partire da zero come hardware avendo l'unica limitazione di usare windows server 2003 in quanto il programma deve girare su questa piattaforma.
Gli indirizzi ip sono pubblici e non statici quelli di una normale adsl a 2 mega.
Conosco il discorso della velocità delle vpn che al max, mi pare, andranno a 256/256.
Per quanto riguarda il discorso firewall - router ci sono alcune domande che dovrei farti:
1 - girando per il forum, e appurato che gli apparati dovrebbero essere della stessa marca e modello (sul modello non sono sicuro chiedo a te conferma), ho visto che molti consigliano di usare un solo apparecchio che faccia da router/firewall confermi che è così?
2 - sempre utilizzando windows server 2003, che cosa cambia se faccio la vpn con programmi tipo Hamachi? è fattibile e + semplice?
3 - mi puoi consigliare qualche manuale, sito o link (ne ho trovati già e sto studiando però sai + se ne hanno meglio è )
4 - mi daresti, in linea di massima, una soluzione hardware di tipo alto, medio, basso (come costi sintende).
Scusa per il tempo che ti faccio perdere e grazie per le risposte.

[hmetal]

Quote:

1 - girando per il forum, e appurato che gli apparati dovrebbero essere della stessa marca e modello (sul modello non sono sicuro chiedo a te conferma), ho visto che molti consigliano di usare un solo apparecchio che faccia da router/firewall confermi che è così?

Il problema di utilizzare un firewall/router è limitativo delle quantità di opzioni che puoi avere. Io non utilizzo mai soluzioni di questo tipo per le aziende perche non sono affidabili. Per tutti le aziende che seguo la soluzione piu stabile che ho trovato è quella di utilizzare un firewall e un router separati.

Inoltre non ho mai visto un router/firewall che hanno funzionalità branch office (Cioè collegamenti site to site).Cioè la soluzione che cerchi tu.

Quote:

2 - sempre utilizzando windows server 2003, che cosa cambia se faccio la vpn con programmi tipo Hamachi? è fattibile e + semplice?

Quote:

4 - mi daresti, in linea di massima, una soluzione hardware di tipo alto, medio, basso (come costi sintende).
Scusa per il tempo che ti faccio perdere e grazie per le risposte.

Rispondo a tutte e due.

La soluzoione tipo hamachi e linux (che inserisco nelle soluzioni economiche) sono legato al sistema operativo. Se si pianta, si rompe il disco, si rompe l'alimentatore (come qualsiasi pc), sei senza vpn. Statisticamente è piu probabile che si rompa un pc (hai piu cose che si possono rompere)che un apparato appliance (cioè dedicato come un firewall hardware). Senza contare che se ce lo vuoi installare sul server 2003, rendere pubblico un server 2003 senza qualcosa di mezzo, non è mai una buona soluzione. PIU RISCHI=PIU ECONOMICO. Comunque è una soluzione fattibile. Dipende dalla criticità dell'applicazione e quanto il suo fermo costa all'azienda. Se un applicazione fa perder all'azienda 500 euro/ora direi che è il caso di investirci un po di piu.

Una soluzione media è quella di implementare firewall di fascia media + un router separati. Creare le vpn tra di loro. Mediamente un firewall di questa fascia vanno dai 200-300 euro in su. Con questo sistema aumenti la sicurezza e la stabilità del sistema.

LA soluzione piu fascia alta èquella di utilizzare apparecchiatura di fascia alta, ridondate in modo tale che se una cade l'altra entra in funzione etc...ma ti cosa qualche migliaia di euro per cui non credo sia la soluzione corretta.

Quote:

3 - mi puoi consigliare qualche manuale, sito o link (ne ho trovati già e sto studiando però sai + se ne hanno meglio è )

Ho la fortuna di aver lavorato con gente che mi ha insegnato tutto, in internet ho solo integrato le lacune. Non so sincermante consigliarti guide passo passo in int ernet.

Vedi tu.

[iceone]

Quote:

Originariamente inviato da hmetal

Una soluzione media è quella di implementare firewall di fascia media + un router separati. Creare le vpn tra di loro. Mediamente un firewall di questa fascia vanno dai 200-300 euro in su. Con questo sistema aumenti la sicurezza e la stabilità del sistema.

Mi puoi dare qualche marca e modello soprattutto riguardo la facilità di configurazione?

Un'altra domanda (mi sa che ti dovrei pagare ) sul mio router casalingo netgear dg834 ho visto ora nelle opzioni un vpn wizard posso farla anche così? (naturalmente in maniera molto semplice)

[hmetal]

Quote:

Mi puoi dare qualche marca e modello soprattutto riguardo la facilità di configurazione?

Io di solito uso watchguard (sono solo firewall) e vanno molto bene. Tutte le vpn branch office che ho tirato su sono li che lavorano e non ho mai avuto nessun problema di nessun tipo. Altri con cui lavoro sono i checkpoint, ma costano parecchio...I sonicwall li ho visti pero non so dirti.
La configurazione non è difficile, e c'è ampia documentazione. Il fatto di acquistare apparecchiatura di questa fascia ti assicura anche un notevole supporto, soprattutto perche chi compra questo di solito fa questi lavori e per cui c'è ampia documentazione e supporto.

Quote:

sul mio router casalingo netgear dg834 ho visto ora nelle opzioni un vpn wizard posso farla anche così? (naturalmente in maniera molto semplice)

Ho letto la documentazione e sembra che con un firmware adeguato possa gestire un tunnel vpn diretto tra due router dg834. Di default supporta solo la connessione pptp e l2pt (praticamente un client che si collega sopra, e non 2 lan collegate insieme). Pero non so come funziona. Se hai qualcun'altro che ha il tuo stesso router puoi provare.

Quote:

mi sa che ti dovrei pagare

sto segnando tutto. Poi ti mando il conto.

[iceone]

Quote:

Originariamente inviato da hmetal

Io di solito uso watchguard (sono solo firewall) e vanno molto bene.

e per il router quale?

Quote:

Originariamente inviato da hmetal

Tutte le vpn branch office...

Le vpn branch office cosa sono? e scusa l'ignoranza.

Quote:

Originariamente inviato da hmetal

Ho letto la documentazione e sembra che con un firmware adeguato possa gestire un tunnel vpn diretto tra due router dg834. Di default supporta solo la connessione pptp e l2pt (praticamente un client che si collega sopra, e non 2 lan collegate insieme). Pero non so come funziona. Se hai qualcun'altro che ha il tuo stesso router puoi provare.

1 - Scusa dove hai preso la documentazione del netgear?
2 - Posso provare con un amico che ha il mio stesso router cosa devo fare di preciso?
3 - Se uso solo 1 rete lan a cui si collegano solo alcuni pc potrei usare solo i netgear? che grado di sicurezza avrei?
4 - Mi hanno detto che il programma da installare funziona con windows 2003 server e terminal server... cos'è terminal server?
Immensamente grato delle risposte.... e cmq per il conto tu manda e poi saldiamo

[hmetal]

Quote:

e per il router quale?

qualsiasi router, anche il tuo, potrebbe andar bene. L'importante è verificare che non faccia nat perche poi la farebbe il firewall. Me è un opzione che aveva anche il mio vecchio Trust...quindi immagino ci sia su qualunque router.

Quote:

Le vpn branch office cosa sono? e scusa l'ignoranza.

è un altro nome per chiamare le vpn site-to-site. Per la differenza tra le sitetosite e le mobile, di rimando a wikipedia dove è spiegato molto bene.

Quote:

1 - Scusa dove hai preso la documentazione del netgear?

ho googglato cercando il modello del tuo router e vpn

Quote:

2 - Posso provare con un amico che ha il mio stesso router cosa devo fare di preciso?

Per la conf riferisciti alla documentazione, di preciso con il tuo router non l'ho mai fatta per cui non saprei guidarti. Essenzilamente le operazione saranno piu o meno queste:
-Impostare la PSK (PreSharedKey): la PSK è una password che deve essere impostata in maniera uguale nei due firewall/router, in modo tale che si autenticano l'uno con l'altro quando tirano su la vpn
-impostare i parametri di crittografia: essenzialmente si tratta di impostare gli stessi parametri per tutti e due i router/firewall per quanto rigurda la crittografia del tunnel vpn. Se metti due crittografie direrse, i firewall non si capiscono e la vpn non va su. I maggiori problemi con firewall di brand diverso nascono proprio qui perche ogni firewall usa delle impostazioni sue per cui capitra che nelle opzioni dei due firewall non ci siano crittografie compatibili e per i cui non riescono a parlare. Da cui avere tutti firewall uguali o per lo meno della stesso brand.

Quote:

3 - Se uso solo 1 rete lan a cui si collegano solo alcuni pc potrei usare solo i netgear? che grado di sicurezza avrei?

se i client di collegano direttamente al firewall, presi singolarmente e non presi come lan, allora di basterebbe il tuo e ne avresti bisogno solo di uno. Tuttavia hai una limitazione nel numero di vpn contemporanee, mi pare si 5. In sostanza bisogna provare.

Quote:

4 - Mi hanno detto che il programma da installare funziona con windows 2003 server e terminal server... cos'è terminal server?

Terminal Server è un applicazione che ti permette di aprire una sessione su un server come se utilizzassi un altro pc locale, solamente che vai ad utilizzare le risorse del server. E' come collegarsi in remote desktop, (sfrutta lo stesso protocollo che è l'rdp), solo che in remote desktop utilizzi la sessione di console (cioè è come usare VNC essenzilamente), mentre con TS puoi aprirne varie ed indipendenti uno dall'altro, con profili diversi, impostazioni diversi etc...come avere vari pc dentro una stessa macchina.

ciao

[iceone]

Grazie immensamente.
Se ho ulteriori dubbi posso disturbare?

[iceone]

Quote:

Originariamente inviato da hmetal

se i client di collegano direttamente al firewall, presi singolarmente e non presi come lan, allora di basterebbe il tuo e ne avresti bisogno solo di uno. Tuttavia hai una limitazione nel numero di vpn contemporanee, mi pare si 5. In sostanza bisogna provare.

Quindi riassumendo:
1 - Sede Centrale su cui gira l'applicazione su 1 pc con windows 2003 server
Hardware: pc , router, firewall (oppure potrei usare solo il router tipo netgear?)
2 - Sede Periferica 2 su cui gira l'applicazione su 1 pc con terminal server in vpn connesso con la sede centrale
Hardware: pc , router (?), firewall (oppure potrei usare solo il router tipo netgear?)
Insomma se ho capito bene se utilizzo una soluzione senza lan ma solo pc che si connettono tra di loro lo posso fare con dispositivi "unici" come il nergear dg834 ma dovrei avere la limitazione che al pc principale su cui gira l'applicazione si possono connettere contemporaneamente al max 5 client.
Il discorso è esatto?

[hmetal]

Quote:

Il discorso è esatto?

Se devi collegare un solo pc remoto ad un server utilizzando internet, puoi evitare di farti la vpn.

Tu prima avevi detto che dovevi collegare diverse lan (con piu di un pc per ogni lan) tra di loro. In questo caso la vpn ha un suo senso.

Se la situazione è questa

Quote:

Quindi riassumendo:
1 - Sede Centrale su cui gira l'applicazione su 1 pc con windows 2003 server
Hardware: pc , router, firewall (oppure potrei usare solo il router tipo netgear?)
2 - Sede Periferica 2 su cui gira l'applicazione su 1 pc con terminal server in vpn connesso con la sede centrale
Hardware: pc , router (?), firewall (oppure potrei usare solo il router tipo netgear?)
Insomma se ho capito bene se utilizzo una soluzione senza lan ma solo pc che si connettono tra di loro lo posso fare con dispositivi "unici" come il nergear dg834 ma dovrei avere la limitazione che al pc principale su cui gira l'applicazione si possono connettere contemporaneamente al max 5 client.

Cioe con solo 2 pc, di cui uno fa da server terminal e l'altro ci si collega sopra, è abbastanza inutile creare una vpn...Se questa è la situazione è semplicemente necessario forwardare la porta del remote desktop (la 3389) verso il server, nelle regole di forward del router. Registri l'ip tramite servizi tipo dydns (mi pare che quel router supporti tra le varie opzioni anche nativamente questo servizio prorpio con dydns) ed è sufficiente che il pc remoto si colleghi in remote desktop sul server.

Il server rilascera una licenza terminal (su win2003 hai 2 licenze comprese, una console, in cui pero prendi proprio possesso della macchina e se c'è un utente li in locale non va, o uno o l'altro; e poi c'è una licenza temporanea che viene rilasciata di volta in volta...per te andrebbe bene) e tu ti colleghi su diretto senza pippe di vpn e balle varie.

Se pero la situazione è questa:cioeè un client e un server e basta.

fammi sapere
byez

[hmetal]

Per quest'ultima soluzione che ti ho dato, la parte della sicurezza è abbastanza semplice: se uno non conosce un utente locale del server 2003, si fermerà alla scheramata di login e basta...quindi nn ci sono problemi. Utilizzo spesso questa soluzione visto che con le vpn ci sono dei problemi con gli indirizzamenti privati, per cui nn possiamo usare le vpn e ci colleghiamo sugli ip pubblici senza vpn (la differenza con te sta che tu devi registrarti su dyndns altrimeni rischi che ti venga cambiato l'ip...etc...)

ciao

[gigo979]

Secondo me una buona soluzione oltre a quelle già citate, ma + semplice da gestire, potrebbe essere questa:

Lan 1

Router-----Firewall-----Terminal server-----pc

lan 2

Modem o Router-----Client Vpn-------pc

lan 3

Modem o Router-----Client Vpn-------pc

Ciao

[iceone]

work in progress.... vi faccio sapere