Consigli su apparati VPN e configurazione

divertiamoci.insieme · 01-01-2010, 21:08

Dovrei realizzare una vpn dove c'è una sede centrale e le altre si devono connettere a questa.
Dalla sede principale dovrà essere necessario vedere le altre sedi incluse le stampanti di rete, per tale motivo pensavo di realizzare una VPN ipsec.

Quali apparti mi consigliate di acquistare? Avrei pensato a un firewall zyWALL 5 da mettere in tutte le sedi.

Secondo voi tale schema è corretto? Con quale indirizzo ip dovrò configurare nelle stampanti per essere viste anche dalle sedi principali?

Maddoctor · 01-01-2010, 23:07

Per quello che vedo, nello schema ci sono 2 sedi periferiche. Ad entrambe hai assegnato la stessa rete (192.168.1.0/24) e questo non va bene.
Inoltre non si capisce su disegno PC e stampanti per cosa sta quel /20 e quel /250 (forse che gli IP dei PC partono da 10 fino a 20, e le stampante da 245 a 250).

Ogni sede periferica deve appartenere ad una rete con indirizzi IP univici solo per quella sede, quindi una delle 2 la devi cambiare (metti ad esempio 192.168.2.0/24)

Per far vedere poi gli apparati tra le reti , basta che ognuno abbia configurato correttamente il suo gateway, non ti devi preoccupare di nulla tu.
Non vedo reti in cascata, quindi non ti serve nessuna "static route" particolare.

Per gli apparati, io mi trovo molto bene con i PIX di Cisco, ora sostituiti con gli ASA.

Ciao

divertiamoci.insieme · 02-01-2010, 00:11

Ciao scusami è errato scrivere /20 ecc. Cmq. intendevo quello che tu hai detto. Asa della cisco che mi consigliavi hanno l'interfaccia grafica? La stampante con quale ip la troverò? 192.168.0.245 o come 10.62.X.X . Spiego meglio il mio problema. C'è una parte della rete che non potrò andare a gestire. Mi dicevano di configurare tutte le VPN delle altre sedi sul 10.62.X.X , a questo puntoi chiedo come vedrò le stampanti? Devo configurare 7 sedi. Grazie

Maddoctor · 02-01-2010, 09:38

Quote:

Originariamente inviato da divertiamoci.insieme

Ciao scusami è errato scrivere /20 ecc. Cmq. intendevo quello che tu hai detto. Asa della cisco che mi consigliavi hanno l'interfaccia grafica? La stampante con quale ip la troverò? 192.168.0.245 o come 10.62.X.X . Spiego meglio il mio problema. C'è una parte della rete che non potrò andare a gestire. Mi dicevano di configurare tutte le VPN delle altre sedi sul 10.62.X.X , a questo puntoi chiedo come vedrò le stampanti? Devo configurare 7 sedi. Grazie

1) - Gli ASA possono essere configurati o tramite CLI o tramite WEB Interface.
2) - La stampante che sta nella rete 192.168.1.0/24 lo troverai con l'IP 192.168.1.245. La stampante che sta nella rete 192.168.2.0/24 la troverai con l'IP 192.168.2.245 ..... e cosi via per tutte le 7 sedi connesse in VPN LAN2LAN.
3) - Ti serve un numero di dispositivi VPN pari al numero delle sedi totale.
4) - Non capisco cosa intendi per "Tutti quelli che si connettono in VPN dovranno avere un IP 10.62.x.x" come scritto nel disegno. Se intendi le persone che si connettono in VPN dal PC mentre non sono in sede la classe di appartenenza degli IP la puoi decidere tu, quindi OK per 10.62.x.x. Questo ragionamento vale quindi per le connessioni di utenti road warrior.

Spero di esserti stato utile.

Ciao

divertiamoci.insieme · 02-01-2010, 11:21

Quote:

Spero di esserti stato utile.

Grazie di tutto, a dir poco direi che sei stato utilissimo

spiego meglio la problematica che avevo annunciato per quanto riguarda la 10.62.X.X
In passato le sedi erano connesse con modem isdn mentre nella sede centrale c'è un cisco 1800 che mi proibiscono di toccare perchè è gestito dalla sede principale di milano.
Momentaneamente la cosa che ho fatto con un router che fa anche da vpn è stato di creare delle vpn pptp, solo che in questo modo non va bene in quanto dalla sede principale non possono vedere le stampanti.
Mi dicevo di mantenermi sulla classe 10.62.X.X ma mi sembra di capire che dato che devo connettere 7 sedi questo sarà non fattibile.

Sono costretto a comprare 7 asa 5505 oppure potrei comprarne solo 1 e poi utilizzare dei router della zyxel?

Sai se gli ASA 5505 supportano DDNS?

Maddoctor · 02-01-2010, 13:00

Quote:

Originariamente inviato da divertiamoci.insieme

Grazie di tutto, a dir poco direi che sei stato utilissimo

Diciamo che provo a darti una mano con la mia poca esperienza... spero di esserti utile.

Quote:

spiego meglio la problematica che avevo annunciato per quanto riguarda la 10.62.X.X
In passato le sedi erano connesse con modem isdn mentre nella sede centrale c'è un cisco 1800 che mi proibiscono di toccare perchè è gestito dalla sede principale di milano.
Momentaneamente la cosa che ho fatto con un router che fa anche da vpn è stato di creare delle vpn pptp, solo che in questo modo non va bene in quanto dalla sede principale non possono vedere le stampanti.
Mi dicevo di mantenermi sulla classe 10.62.X.X ma mi sembra di capire che dato che devo connettere 7 sedi questo sarà non fattibile.

Ora, mi sembra di capire che esiste una sede centrale, ma non capisco bene le seguenti cose come è la rete oggi e cosa vorresti fare tu.

Se ti chiedo di rifare lo schema elencando :

1) - Sede centrale
2) - Sede/i dove intendi tu mettere gli apparati per fare VPN
3) - Sedi già oggi collegate tramite Cisco 1800
4) - Sedi che tu vorresti aggiungere alla rete

Il tutto magari contornato da indirizzi IP oggi usati nelle sedi.

Quote:

Sono costretto a comprare 7 asa 5505 oppure potrei comprane solo 1 e poi utilizzare dei router della zyxel?

Non so risponderti, non ho mai usato configurazioni miste tra Cisco e non. Probabilmente si ma quì è meglio se ci da aiuto qualche altro utente del forum.

Quote:

Sai se gli ASA 5505 supportano DDNS?

Anche qui non so risponderti, non mi è mai capitato di configurare VPN su sedi senza IP statico.

Ciao

divertiamoci.insieme · 02-01-2010, 15:50

Prima la connessione veniva fatta mediante una ISDN. Ti posto lo schema.
Mi garantiscono che tutte le sedi e tutte le stampanti erano configurate con 10.62.106.26 anche se secondo me è impossibile

Praticamente devo portare questa realta non più con isdn ma usando ADSL. Non ci sono nuove sedi e posso toccare tutto tranne il cisco 1800 perchè viene utilizzato per una connessione vpn con la sede di Milano che non centra niente con sede principale o altro.
Le stampanti sul server non le posso configuare io ma le devono configuare quelli di Milano

Maddoctor · 02-01-2010, 18:53

Allora, senza indagare su cosa o su come era la configurazione originale,quello che farei io è questo.

Apparato per VPN in sede principale : 10.61.106.4 (esempio valido dallo schema che hai postato)

Apparato VPN in ogni sede remota : ovviamente ogni sede avrà una classe IP a se stante. Va benissimo a 24 bit, quindi partiamo pure con 192.168.0.X e scaliamo con il terzo ottetto in ogni sede , arrivando fino a 192.168.6.X.

Su ogni sede PC e stampanti avranno un IP statico o dinamico, ma compatibile con la rete. Scordati gli IP 10.62.X.X, non ci servono.

Torniamo sulla sede principale : mi è sembrato di capire che tramite il CISCO 1800, oggi viene resa visibile un'altra sede. Inoltre, mi sembra di capire che il CISCO 1800 sia il default-gateway per quella sede.
Quindi senti i tizi di milano, e gli dici di aggiungere 7 rotte statiche, una per ogni sede che renderai disponibile tramite l'apparato VPN. Ovviamente l'instradamento sarà garantito tramite l'IP 10.61.106.4 relativo all'apparato VPN che installi a Milano.
Se le sedi remote devono dialogare con la sede aggiuntiva (e vice-versa), ti servirà una rotta statica anche sul dispositivo VPN installato da te a Milano, che permetta la visione di quella gamma di IP tramite instradamento sul CISCO 1800.

Facendo in questo modo non servirà variare la configurazione sugli apparati IP (PC , Stampanti ed altro) della sede di Milano, che manterranno il default-gateway oggi presente.

Comunichi a Milano gli indirizzi IP delle stampanti e PC delle varie sedi remote che potranno tranquillamente aggiungere sul Server o dove essi vogliono.

Ciao

divertiamoci.insieme · 03-01-2010, 00:41

Lunedì chiamo quelli della sede di Milano e vedo che mi dicono. Ti faccio sapere grazie di tutto. Guardando gli ASA ho individuato il 5505 secondo te va bene? Ha una interfaccia web per la configurazione? Grazie sempre di tutto.

Maddoctor · 03-01-2010, 11:54

Quote:

Originariamente inviato da divertiamoci.insieme

Lunedì chiamo quelli della sede di Milano e vedo che mi dicono. Ti faccio sapere grazie di tutto. Guardando gli ASA ho individuato il 5505 secondo te va bene? Ha una interfaccia web per la configurazione? Grazie sempre di tutto.

Ciao, dalle caratteristiche del 5505 (qui), si vede che supporta 10 site2site vpn, quindi dovrebbe andare benone. Fatti comunque dare un consiglio da quello che sarà il tuo rivenditore.

Per quanto concerne l'interfaccia web per programmare questi device (io solitamente vado via cli) da quello che leggo il 5505 viene fornito di base con l'interfaccia web ASDM, quindi va benone. Leggi qui.
Comunque ho un 5505 nuovo da qualche parte che ancora non ho configurato, vedo di attivare l'interfacci web e ti faccio sapere.

Ciao

divertiamoci.insieme · 04-01-2010, 12:04

Ho dato uno sguardo al link. Non ho capito bene una cosa, il secondo firewall che metto nella sede remota la devo configuare come remote access? No vero?

Grazie di tutto come sempre.

Maddoctor · 04-01-2010, 21:42

Ciao,
intanto intanto ti posso confermare che il 5505 supporta l'interfaccia WEB ASDM.

Ovviamente devi creare delle site2site vpn, non remote access.

Ciao

divertiamoci.insieme · 05-01-2010, 23:19

ti faccio sapere. Sinceramente ho preso in considerazione anche di mettere zeroshell. Che ne dici?

Maddoctor · 05-01-2010, 23:37

Zeroshell lo ho provato , ma esclusivamente come firewall installato presso casa, quindi non lo ho provato in ambito VPN. A me è sembrato uno strumento validissimo e ben sviluppato.

Unica nota che mi sembra degna di nota : ricorda che un appliance hardware come un ASA (o altro modello/marca) ha sempre come vantaggi basso consumo/minore possibilità di guastarsi (nessun harddisk, ventola, ecc. ecc.)
Zeroshell immagino lo installeresti su PC, quindi maggiori probabilità di guasti hardware ma anche di blocchi software.

Comunque dipende sempre da cosa vai cercando .....

Ciao

divertiamoci.insieme · 05-01-2010, 23:57

Hai assolutamente raggione. Ho visto il costo degli Asa e sembrano che variano da 360 + iva a 1070 + iva

divertiamoci.insieme · 08-01-2010, 00:56

sono messo che prevo zeroshell che mi sta facendo uscire pazzo. Non riesce a stabilire la connessione vpn.
Sono ancora indeciso se prendere come centro stella lo zyxel 662 e come router nelle altre sedi lo zyxel 661. Che ne dici?

01-01-2010, 21:08	#1
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	Consigli su apparati VPN e configurazione Dovrei realizzare una vpn dove c'è una sede centrale e le altre si devono connettere a questa. Dalla sede principale dovrà essere necessario vedere le altre sedi incluse le stampanti di rete, per tale motivo pensavo di realizzare una VPN ipsec. Quali apparti mi consigliate di acquistare? Avrei pensato a un firewall zyWALL 5 da mettere in tutte le sedi. Secondo voi tale schema è corretto? Con quale indirizzo ip dovrò configurare nelle stampanti per essere viste anche dalle sedi principali?

01-01-2010, 23:07	#2
Maddoctor Senior Member Iscritto dal: Nov 2000 Messaggi: 314	Per quello che vedo, nello schema ci sono 2 sedi periferiche. Ad entrambe hai assegnato la stessa rete (192.168.1.0/24) e questo non va bene. Inoltre non si capisce su disegno PC e stampanti per cosa sta quel /20 e quel /250 (forse che gli IP dei PC partono da 10 fino a 20, e le stampante da 245 a 250). Ogni sede periferica deve appartenere ad una rete con indirizzi IP univici solo per quella sede, quindi una delle 2 la devi cambiare (metti ad esempio 192.168.2.0/24) Per far vedere poi gli apparati tra le reti , basta che ognuno abbia configurato correttamente il suo gateway, non ti devi preoccupare di nulla tu. Non vedo reti in cascata, quindi non ti serve nessuna "static route" particolare. Per gli apparati, io mi trovo molto bene con i PIX di Cisco, ora sostituiti con gli ASA. Ciao __________________ Corei7 -16 GB\|ESXi 5 \|Crippa Andrea\| EOS 7D - CANON 70-300 F4/5.6 IS USM \| 50 F1,8 \| 17-40L F4 USM

02-01-2010, 15:50	#7
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	Prima la connessione veniva fatta mediante una ISDN. Ti posto lo schema. Mi garantiscono che tutte le sedi e tutte le stampanti erano configurate con 10.62.106.26 anche se secondo me è impossibile Praticamente devo portare questa realta non più con isdn ma usando ADSL. Non ci sono nuove sedi e posso toccare tutto tranne il cisco 1800 perchè viene utilizzato per una connessione vpn con la sede di Milano che non centra niente con sede principale o altro. Le stampanti sul server non le posso configuare io ma le devono configuare quelli di Milano Ultima modifica di divertiamoci.insieme : 02-01-2010 alle 15:54.

02-01-2010, 18:53	#8
Maddoctor Senior Member Iscritto dal: Nov 2000 Messaggi: 314	Allora, senza indagare su cosa o su come era la configurazione originale,quello che farei io è questo. Apparato per VPN in sede principale : 10.61.106.4 (esempio valido dallo schema che hai postato) Apparato VPN in ogni sede remota : ovviamente ogni sede avrà una classe IP a se stante. Va benissimo a 24 bit, quindi partiamo pure con 192.168.0.X e scaliamo con il terzo ottetto in ogni sede , arrivando fino a 192.168.6.X. Su ogni sede PC e stampanti avranno un IP statico o dinamico, ma compatibile con la rete. Scordati gli IP 10.62.X.X, non ci servono. Torniamo sulla sede principale : mi è sembrato di capire che tramite il CISCO 1800, oggi viene resa visibile un'altra sede. Inoltre, mi sembra di capire che il CISCO 1800 sia il default-gateway per quella sede. Quindi senti i tizi di milano, e gli dici di aggiungere 7 rotte statiche, una per ogni sede che renderai disponibile tramite l'apparato VPN. Ovviamente l'instradamento sarà garantito tramite l'IP 10.61.106.4 relativo all'apparato VPN che installi a Milano. Se le sedi remote devono dialogare con la sede aggiuntiva (e vice-versa), ti servirà una rotta statica anche sul dispositivo VPN installato da te a Milano, che permetta la visione di quella gamma di IP tramite instradamento sul CISCO 1800. Facendo in questo modo non servirà variare la configurazione sugli apparati IP (PC , Stampanti ed altro) della sede di Milano, che manterranno il default-gateway oggi presente. Comunichi a Milano gli indirizzi IP delle stampanti e PC delle varie sedi remote che potranno tranquillamente aggiungere sul Server o dove essi vogliono. Ciao __________________ Corei7 -16 GB\|ESXi 5 \|Crippa Andrea\| EOS 7D - CANON 70-300 F4/5.6 IS USM \| 50 F1,8 \| 17-40L F4 USM

04-01-2010, 21:42	#12
Maddoctor Senior Member Iscritto dal: Nov 2000 Messaggi: 314	Ciao, intanto intanto ti posso confermare che il 5505 supporta l'interfaccia WEB ASDM. Ovviamente devi creare delle site2site vpn, non remote access. Ciao __________________ Corei7 -16 GB\|ESXi 5 \|Crippa Andrea\| EOS 7D - CANON 70-300 F4/5.6 IS USM \| 50 F1,8 \| 17-40L F4 USM

02-01-2010, 00:11	#3
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	Ciao scusami è errato scrivere /20 ecc. Cmq. intendevo quello che tu hai detto. Asa della cisco che mi consigliavi hanno l'interfaccia grafica? La stampante con quale ip la troverò? 192.168.0.245 o come 10.62.X.X . Spiego meglio il mio problema. C'è una parte della rete che non potrò andare a gestire. Mi dicevano di configurare tutte le VPN delle altre sedi sul 10.62.X.X , a questo puntoi chiedo come vedrò le stampanti? Devo configurare 7 sedi. Grazie

03-01-2010, 00:41	#9
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	Lunedì chiamo quelli della sede di Milano e vedo che mi dicono. Ti faccio sapere grazie di tutto. Guardando gli ASA ho individuato il 5505 secondo te va bene? Ha una interfaccia web per la configurazione? Grazie sempre di tutto.

04-01-2010, 12:04	#11
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	Ho dato uno sguardo al link. Non ho capito bene una cosa, il secondo firewall che metto nella sede remota la devo configuare come remote access? No vero? Grazie di tutto come sempre.

05-01-2010, 23:19	#13
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	ti faccio sapere. Sinceramente ho preso in considerazione anche di mettere zeroshell. Che ne dici?

05-01-2010, 23:37	#14
Maddoctor Senior Member Iscritto dal: Nov 2000 Messaggi: 314	Zeroshell lo ho provato , ma esclusivamente come firewall installato presso casa, quindi non lo ho provato in ambito VPN. A me è sembrato uno strumento validissimo e ben sviluppato. Unica nota che mi sembra degna di nota : ricorda che un appliance hardware come un ASA (o altro modello/marca) ha sempre come vantaggi basso consumo/minore possibilità di guastarsi (nessun harddisk, ventola, ecc. ecc.) Zeroshell immagino lo installeresti su PC, quindi maggiori probabilità di guasti hardware ma anche di blocchi software. Comunque dipende sempre da cosa vai cercando ..... Ciao __________________ Corei7 -16 GB\|ESXi 5 \|Crippa Andrea\| EOS 7D - CANON 70-300 F4/5.6 IS USM \| 50 F1,8 \| 17-40L F4 USM

05-01-2010, 23:57	#15
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	Hai assolutamente raggione. Ho visto il costo degli Asa e sembrano che variano da 360 + iva a 1070 + iva

08-01-2010, 00:56	#16
divertiamoci.insieme Member Iscritto dal: Mar 2006 Messaggi: 48	sono messo che prevo zeroshell che mi sta facendo uscire pazzo. Non riesce a stabilire la connessione vpn. Sono ancora indeciso se prendere come centro stella lo zyxel 662 e come router nelle altre sedi lo zyxel 661. Che ne dici?

Strumenti
Mostra una versione stampabile Invia questa pagina per email