ipcop e openvpn

[Barra]

ipcop 1.4.21
zerina nella sua ultima beta per avere il supporto al net to net


non riesco a collegare 2 ipcop, mentre il roadwarrior funziona alla grande!
ecco come ho configurato il tutto.

Entrambe le macchine sono dietro a un router adsl atlantis, con dmz verso l'ip della red. Entrambe le connessioni ad internet hanno un ip pubblico.

Hostname= ip della red (non l'ip pubblico)
host remoto = ip pubblico remoto
sottorete locale= 192.168.77.0/255.255.255.0
Sorrorete remota= 192.168.2.0/255.255.255.0
opevpn subnet (che sinceramente non ho capito a cosa serva)=10.238.23.0/255.255.255.0

porta=1194
lzo compressione abilitata
encription bf-cbc

Salvo, scarico il client package e importo dall'altra parte. Peccato che però non vada!
Pensavo che il problema fosse che l'ip della red veniva impostato come ip remoto sul client ma anche sostituendolo non è cambiato nulla!

Consgigli?

[Imp.Avgvstvs]

Quote:

Originariamente inviato da Barra

ipcop 1.4.21
zerina nella sua ultima beta per avere il supporto al net to net


non riesco a collegare 2 ipcop, mentre il roadwarrior funziona alla grande!
ecco come ho configurato il tutto.

Entrambe le macchine sono dietro a un router adsl atlantis, con dmz verso l'ip della red. Entrambe le connessioni ad internet hanno un ip pubblico.

Hostname= ip della red (non l'ip pubblico)
host remoto = ip pubblico remoto
sottorete locale= 192.168.77.0/255.255.255.0
Sorrorete remota= 192.168.2.0/255.255.255.0
opevpn subnet (che sinceramente non ho capito a cosa serva)=10.238.23.0/255.255.255.0

porta=1194
lzo compressione abilitata
encription bf-cbc

Salvo, scarico il client package e importo dall'altra parte. Peccato che però non vada!
Pensavo che il problema fosse che l'ip della red veniva impostato come ip remoto sul client ma anche sostituendolo non è cambiato nulla!

Consgigli?

Posta l'esatta configurazione dei 2 firewall, ip, netmask, gateway e indirizzamente di ciascuna delle due reti, eventuali interfacce dmz.

[Barra]

Vediamo 1 pò:

1a postazione

ip pubblico 85.xxx.xxx.xxx
router adsl atlantis con ip 192.168.0.1 e dmz verso l'ip 192.168.0.100
red: 192.168.0.100 con gateway l'ip del router
green: 192.168.2.20


2a postazione
ip pubblico 79.xxx.xxx.xxx
router adsl atlantis con ip 192.168.1.1 e dmz verso l'ip 192.168.1.100
red: 192.168.1.100 con gateway l'ip del router
green: 192.168.77.20

Altro?

[Imp.Avgvstvs]

Quote:

Originariamente inviato da Barra

Vediamo 1 pò:

1a postazione

ip pubblico 85.xxx.xxx.xxx
router adsl atlantis con ip 192.168.0.1 e dmz verso l'ip 192.168.0.100
red: 192.168.0.100 con gateway l'ip del router
green: 192.168.2.20


2a postazione
ip pubblico 79.xxx.xxx.xxx
router adsl atlantis con ip 192.168.1.1 e dmz verso l'ip 192.168.1.100
red: 192.168.1.100 con gateway l'ip del router
green: 192.168.77.20

Altro?

Sono tutti e 2 nattati i firewall, sara' dura mettere in piedi la vpn, hai mica una classe da 8 ip statici per uno dei 2 o tutti e 2 ?

Cmq il procedimento in genere e' questo.
Crei i 2 certificati per ognuno, host e ca.
poi installi quello della ca sull'altro firewall e viceversa.
Crei una nuova connessione, metti tutti gli ip del caso che ti chiede e come metodo di autenticazione scegli certificate e usi l'host certificate dell'altro firewall, le crei su tutte e 2 e poi restarti il tutto e dovrebbe salire il link.

Se non vuoi avere rogne cmq ti consiglio di farti assegnare una subnet di 8 ip statici per ciascuna linea cosi' almeno hai 1 indirizzo ip pubblico ruotabile sul firewall e non sei costretto a nattare.

[Barra]

Non ho a disposizione una classe di ip e penso anche che il contratto previsto non ne dia la possibilità.

Ho anche in una delle 2 sedi un adsl fastweb, sempre con ip pubblico può servire?

Perchè allora una vpn roadwarrior mi va su un attimo?

[Imp.Avgvstvs]

Quote:

Originariamente inviato da Barra

Non ho a disposizione una classe di ip e penso anche che il contratto previsto non ne dia la possibilità.

Ho anche in una delle 2 sedi un adsl fastweb, sempre con ip pubblico può servire?

Perchè allora una vpn roadwarrior mi va su un attimo?

Perche' fuzniona diversamente, non deve fare il tunnelling di un'intera rete al disotto. Cmq puoi provare, come indirizzi esterni dei 2 firewall ovviamente metti quelli esterni del router, altrimenti non funzionera' mai.

[Barra]

infatti io avevo creato una connefigurazione che prevedeva come ip esterno la red del firewall (con il router nattato su questa), e l'ip pubblico remoto. Però effettivamente non si collega.

[Imp.Avgvstvs]

Quote:

Originariamente inviato da Barra

infatti io avevo creato una connefigurazione che prevedeva come ip esterno la red del firewall (con il router nattato su questa), e l'ip pubblico remoto. Però effettivamente non si collega.

Non riuscira' mai, perche' sono indirizzi non ruotabili, se hai quelli pubblici ti togli ste rogne e ci metti 10 min 10. Gli ip pubblici di fastweb sono dei nat anche quelli quindi non ci contare. Altrimenti devi usare questo trick, io con i 2 lati nattati non mi sono mai cimentato, con uno si e ci sono riuscito.

[Barra]

ho un ip pubblico fastweb, ho appen achiamato e mi hanno garantito che con quello posso metterci su una vpn, la persona con cui ho parlato però ne sapeva meno di mia nonna, mi ha messo in attesa + volte per chiedere chiarimenti.

Ho qualche dubbio sulla cosa visto che stando a quel che mi dici tu non c'è modo di connettere la vpn se il tutto è nattato (e anche qui mihanno chiesto l'ip verso cui nattare il tutto!)

[Imp.Avgvstvs]

Quote:

Originariamente inviato da Barra

ho un ip pubblico fastweb, ho appen achiamato e mi hanno garantito che con quello posso metterci su una vpn, la persona con cui ho parlato però ne sapeva meno di mia nonna, mi ha messo in attesa + volte per chiedere chiarimenti.

Ho qualche dubbio sulla cosa visto che stando a quel che mi dici tu non c'è modo di connettere la vpn se il tutto è nattato (e anche qui mihanno chiesto l'ip verso cui nattare il tutto!)

Puoi sempre provare, non ti costa nulla, e' vero che il loro ip puo' andare ma e' sempre nattato, tantovale che usi l'ip esterno del tuo router. Quindi una delle 2 linee e' fastweb ?

[Barra]

no in ufficio ho 2 adsl, una siportal e l'altra fw con un contratto comprendente anche la telefonia

[Barra]

sistemerei mettendo 2 router vpn? sono visti direttamente su internet e dovrebbero essere + semplici da far andare in queste condizioni!

[Imp.Avgvstvs]

Quote:

Originariamente inviato da Barra

sistemerei mettendo 2 router vpn? sono visti direttamente su internet e dovrebbero essere + semplici da far andare in queste condizioni!

Si cosi' dovresti farcela, avresti solo quello con la linea fastweb nattato pero', ma con un lato solo e' gia' piu' facile.

[Barra]

domani dovrei avere la robbbbbba necessaria, provo poi ti saprò dire. Ho scelto dei router atlantis, ho già avuto modo di testare il loro supporto tecnico e devo dire che sono davvero compententi, disponibili e gentili.
Mi è capitato di dover preventivare il collegamento via wireless tra 2 sedi di un'azienda a 100mt di distanza, contattati per consigli su quali apparati usare mi hanno chiesto uno schizzo e le distanza, hanno consigliato materiale, preventivato la spesa (basandosi sui prezzi id listino e mi hanno dato un loro contatto che mi avrebbe assistito nel post vendita!!! + professionali di così!