VPN - Problema accesso & Sovrapposizione di RETI.

[cagnaluia]

Ciao,

la rete aziendale ha la forma 192.168.1.x.
e un altro troncone la 192.168.2.x

E' stato attivato un collegamento VPN per chi si trovasse all esterno con i portatili, a casa, etc...
Attivato credo su Windows2003Server.

Succede però che chi si trova GIA su una rete 192.168.1.x (per esempio quella di casa al 99% ha questa forma, oppure un altra rete aziendale..) e volesse collegarsi alla nostra, avrà un grosso problema di visibilità.
In quanto le due serie di IP coincideranno.
La VPN permetterà l'autenticazione.
Ma l'utente NON vedrà assolutamente NIENTE della rete 192.168.1.x ( o omonima)..
Solo la 192.168.2.x sarà visibile.


La domanda quindi sorge spontanea... Come posso risolvere questo piccolo difetto??

1. cambio tutte le reti del mondo? No
2. cambio la mia rete? No
3. Che altro?

[BTS]

non ho capito se puoi risolvere con una route statica o meno..
eheh... ho capito il problema, ma non ho afferrato come tu voglia risolverlo...

[cagnaluia]

Quote:

Originariamente inviato da BTS

non ho capito se puoi risolvere con una route statica o meno..
eheh... ho capito il problema, ma non ho afferrato come tu voglia risolverlo...

è non lo so.. lo chiedo.

ho addirittura pensato di creare un ambiente virtuale che gira sopra un server (vmware) e mi crea autenticazioni e indirizzi completamente nuovi.... e diversi da quelli della rete che si sovrappone.

[scostante]

Se la VPN è es 10.0.0.0/4 poco importa chi si trova su quale rete, una volta entrato nella vpn l'host dovrà andare su quella rete (ovviamente con l'interfaccia vpn, non con quella "fisica").

Se vuoi fare un tunnel tra più reti... devi per forza avere reti diverse da "routare", altrimenti chettirouti? Quindi o cambi le reti del mondo o cambi la tua rete. Oppure usi il sistema del "roadwarrior" (tunnel tra rete e ogni singolo host): chi si collega da casa o dall'esterno della sede non credo abbia bisogno di salire in vpn con tutta la sua rete - che non è neanche troppo bello dal punto di vista della sicurezza - ma userà il suo bel client vpn sul pc, si collegherà al tuo gateway vpn via isdn/modem/adsl/ecc. per l'autnenticazione, il gateway gli darà un ip in dhcp per la vpn e via. Sarà poi il gateway a gestire il routing tra la 192.168.1.0/24 dell'azienda e la 10.0.0.0/4 della vpn. Ma se hai 192.168.1.0 sia a destra che a sinistra, la vedo dura...

[cagnaluia]

io vedo questo....

rete aziendale 192.168.1.x e 192.168.2.x.

rete casalinga 192.168.1.x


nella rete aziendale 192.168.1.3 è il server per l'autirzzazione VPN.

nella rete casalinga io ho un portatile e sono in wifi.



creo un collegamento VPN con il tool di WindowsXP...
semplicemente do l'ip pubblico del firewall che mi girerà la richiesta di VPN al server 192.168.1.3.
Questo server mi autenticherà perfettamente.
E il dhcp server mi darà un nuovo IP.

Benissimo.

In questa situazione però se io tento di raggiungere qualsiasi postazione 192.168.1.x sarà SEMPRE E SOLO una postazione DELLA MIA RETE casalinga.
SOLO le postazioni 192.168.2.x saranno raggiungibili della rete aziendale.

Non posso cambiare la mia rete.
Non posso cambiare le reti in tutto il mondo.

Posso però configurare il VPN in qualche altra maniera PENSO...

[scostante]

Sì, avevo capito.. ma per fare come dici devi avere reti (o subnet) diverse sui due lati della vpn. Tu in pratica vuoi fare con un roadwarrior quello che dovrebbe fare un tunnel rete-rete, ma non credo si possa fare. O almeno non senza disattivare l'interfaccia LAN del client "casalingo" dalla rete domestica in caso di connessione alla vpn. Anche ammesso di riuscire a fissare una route statica verso il vpn per 192.168.1.0/24, questa escluderebbe il resto della rete di casa.

Potresti invece unire alla rete vpn gli host della lan che ti interessano, il "server" o "autenticatore" vpn devi pensarlo più come un gateway o un router...

es.
PC aziendale:
int. LAN 192.168.1.56
int. VPN 10.0.1.56
|
|
Gateway aziendale
int LAN 192.168.1.3
int VPN 10.0.1.3
|
|
PC casa:
int LAN 192.168.1.56 (può anche essere uguale ad uno sulla lan aziendale)
int VPN 10.0.1.101 (in dhcp, fisso, come vuoi...)

In questo modo sono tutti su 10.qualcosa e sulle rispettive 192.168.1.qualcosa. E chiaramente le richieste per la VPN verranno fatte sulla 10.qualcosa. Forse era questo che intendevi per "virtualizzazione"...

Non so se sono stato un po' più chiaro di prima... Poi se esiste qualche "magia" di windows sarei curioso anch'io di conoscerla.

[BTS]

oh, sarò tonto... ma non capisco il problema.

spiega meglio quali ip sono delle lan e della vpn

[scostante]

Il problema è che lui sta tentando di collegare la stessa rete ai due lati del tunnel:

a) casa sua: 192.168.1.0/24
b) azienda 1: 192.168.1.0/24
c) azienda 2: 192.168.2.0/24

Tra A e C gli funziona (giustamente...), tra A e B no (altrettanto giustamente...). IMHO tra A e B così come la vuole non può funzionargli a meno di:

- non avere una route apposita per 192.168.1.0/24 che comunque escluderebbe la sua rete di casa.
- mettere la vpn su un'altra rete completamente diversa (io ho detto 10.0.0.0/4 ...) e fare entrare su quella sia gli aziendali che gli esterni.

Io opterei per la seconda, però ammetto di non averci nemmeno mai pensato a fare una roba del genere... dovrebbe fare un bridge su vpn... si può?!?!

[BTS]

ah... ok.

devon per forza esser su 2 reti divise

[cagnaluia]

Quote:

Originariamente inviato da scostante

Il problema è che lui sta tentando di collegare la stessa rete ai due lati del tunnel:

a) casa sua: 192.168.1.0/24
b) azienda 1: 192.168.1.0/24
c) azienda 2: 192.168.2.0/24

Tra A e C gli funziona (giustamente...), tra A e B no (altrettanto giustamente...). IMHO tra A e B così come la vuole non può funzionargli a meno di:

- non avere una route apposita per 192.168.1.0/24 che comunque escluderebbe la sua rete di casa.
- mettere la vpn su un'altra rete completamente diversa (io ho detto 10.0.0.0/4 ...) e fare entrare su quella sia gli aziendali che gli esterni.

Io opterei per la seconda, però ammetto di non averci nemmeno mai pensato a fare una roba del genere... dovrebbe fare un bridge su vpn... si può?!?!

appunto.. io teorizzavo una sorta di VPN su un altra rete...
Prendete per esempio il discorso VMWARE...
Automaticamente puoi gestire un bridge.
E installare un sistema operativo Win2003srv su una rete "virtuale" (quella di VMWARE) che gestisce appunto la VPN.
Sarà poi questo ambiente virtuale a girare le richieste sulla rete aziendale vera e propria.

Solo un difetto adesso che sto scrivendo... che torniamo sempre al punto di partenza.. quando per esempio indico la risorsa 192.168.1.x
Questa sarà sulla mia rete casalinga oppure sulla rete aziendale??

ops

[as10640]

Mah... di solito una VPN ben fatta ha una scheda di rete virtuale che prende l'IP dal server di autanticazione VPN e tutto il traffico passa di li... infatti, se c'è la VPN attiva e si prova a navigare non si riesce (a meno di non passare per l'altro gateway)....
Almeno... noi in azienda abbiamo Cisco e si comporta così....

[cagnaluia]

Quote:

Originariamente inviato da as10640

Mah... di solito una VPN ben fatta ha una scheda di rete virtuale che prende l'IP dal server di autanticazione VPN e tutto il traffico passa di li... infatti, se c'è la VPN attiva e si prova a navigare non si riesce (a meno di non passare per l'altro gateway)....
Almeno... noi in azienda abbiamo Cisco e si comporta così....

quindi ti "elimina" la rete di partenza... quella di casa.

Per me va benissimo così.

Va benissimo che in caso di sovrapposizione sia la rete aziendale a comandare e a far girare il traffico sul proprio gateway. (al pc che si collega dalla rete casalinga, le quali risorse saranno inibite).

[as10640]

Quote:

Originariamente inviato da cagnaluia

quindi ti "elimina" la rete di partenza... quella di casa.

Per me va benissimo così.

Va benissimo che in caso di sovrapposizione sia la rete aziendale a comandare e a far girare il traffico sul proprio gateway. (al pc che si collega dalla rete casalinga, le quali risorse saranno inibite).

Si... ma ripeto... questo è il funzionamento Cisco.... anche se dovrebbe essere sempre così....

[Rottweiler]

Quote:

Originariamente inviato da as10640

Si... ma ripeto... questo è il funzionamento Cisco.... anche se dovrebbe essere sempre così....

Cosa intendi per funzionamento "cisco"? comunque io faccio vpn tutti i giorni e quasi tutti non vogliono usare il gateway sulla rete remota.

A parte che anche con il pptp MS puoi benissimo scegliere di usare il gateway sulla rete remota..

Io farei così: sul collegamento vpn imposti di assegnare ai client una classe del tutto diversa (non una subnet della rete aziendale)
Sul pc configuri le route statiche per raggingere gli indirizzi che ti interessano di quella rete attraverso la vpn.
Oppure assegni al tuo pc una subnet puì stretta di /24..

[as10640]

Quote:

Originariamente inviato da Rottweiler

Cosa intendi per funzionamento "cisco"?

La Cisco ha un client da installare sul PC che ti crea una scheda di rete chiamata "Cisco VPN Adapter". Quest'ultima si mette in collegamento con il router Cisco.

Quote:

Originariamente inviato da Rottweiler

quasi tutti non vogliono usare il gateway sulla rete remota.

Perchè non ha senso... o meglio non ha senso dovere usare il gateway.... la VPN è fatta per collegarsi in azienda e lavorare, non per navigare....

O lavori, o navighi (e allora scolleghi la VPN)

[Rottweiler]

Quote:

Originariamente inviato da as10640

La Cisco ha un client da installare sul PC che ti crea una scheda di rete chiamata "Cisco VPN Adapter". Quest'ultima si mette in collegamento con il router Cisco.

Praticamente tutti i sistemi funzionano così e comunque anche con il client cisco puoi usare il default gateway come vuoi

Quote:

Originariamente inviato da as10640

Perchè non ha senso... o meglio non ha senso dovere usare il gateway.... la VPN è fatta per collegarsi in azienda e lavorare, non per navigare....

O lavori, o navighi (e allora scolleghi la VPN)

oppure devi inviare la posta e il server non è in quella rete

[as10640]

Quote:

Originariamente inviato da Rottweiler

Praticamente tutti i sistemi funzionano così e comunque anche con il client cisco puoi usare il default gateway come vuoi

Il client Cisco di default esclude il gateway locale....

[Rottweiler]

Quasi tutti, ma chi è che configura una vpn di default?
Sui cisco le impostazioni del client vengono date dalla configurazione del router o del firewall, quindi è solo più semplice fare in modo che i client siano configurati secondo i criteri delle policy aziendali.
Il client cisco è molto restrittivo nel senso che in un sistema windows "prende il sopravvento", ma occhio a non aver installato software che vada in conflitto con lui..

Comunque il punto non è questo, il gateway non ti serve per raggiungere gli indirizzi locali.
Se hai due reti uguali non hai una configurazione fatta bene, anche ammesso di volerla far funzionare lo stesso cambiando routes e metriche

[as10640]

Quote:

Originariamente inviato da Rottweiler

Quasi tutti, ma chi è che configura una vpn di default?

Cosa vuol dire di default.... se non la attivi non succede niente....

[as10640]

Quote:

Originariamente inviato da Rottweiler

Se hai due reti uguali non hai una configurazione fatta bene, anche ammesso di volerla far funzionare lo stesso cambiando routes e metriche

Due reti uguali ma su schede diverse, di cui una prioritaria.