creazione VPN

[amolaplay]

Ciao a tutti
Sono un nuovo iscritto ma vi seguo da tempo con interesse. La mia passione è....smanettare sulle reti.
sono alla ricerca della migliore soluzione per la realizzazione di una VPN lan to lan con queste specifiche:

- la sede A ha già un router però di fascia medio-bassa che non supporta le VPN IPsec come END POINT.
- la sede B ha un router CISCO 3005 che consente l'instaurazione di un END POINT VPN

- Entrambe le sedi hanno ip statici
- La rete LAN di A ha una fascia di indirizzi che girano su quella B

Obiettivo: Si vuole insaturare la VPN tra A e B installando in A un adeguato router.

Presupposti: Nella sede B non si può apportare alcuna modifica, visto che su questa girano un elevato numero di processi la cui alterazione interesserebbe tempi e costi eccessivi.
Nella sede A si vorrebbe collegare il nuovo router VPN in cascata a quello che allo stato attuale funge da Gateway; inoltre si vorrebbe risolvere il problema della sovrapposizione di indirizzi tra le LAN A e B nattando gli indirizzi dei client di A prima di entrare mediante VPN su B. La soluzione di cambiare gli indirizzi IP delle macchine è da escludere visto l'elevato numero di client in A.

Ho pensato a questa soluzione: visto che comunque in A i pc che si collegheranno alla VPN saranno al massimo 3, in A inserisco in cascata un router VPN al gateway; ho pensato ad un LINKSYS BEFVP41. Il collegamento lo effettuo con un cavo Ethernet collegando la porta INTERNET del router VPN ad una porta ETHERNET del gateway. Se ad es il gateway ha indirizzo 192.168.1.1 (DHCP disabilitato), al VPN assegno 192.168.194.1 (classe indirizzi che non girano nella sede B); come gateway nel router VPN assegno l'indirizzo 192.168.1.1. Al router VPN (DHCP disabilitato) connetto 3 pc con IP 192.168.194.3 , 192.168.194.4, 192.168.194.5.
A questo punto configuro il modem VPN per l'instaurazione della VPN LAN to LAN.
Che ve ne pare? Qualcuno ha una soluzione migliore?
Infine: con questa configurazione i pc delle 2 sottoreti possono vedersi?

Grazie a chiunque interverrà

amolaplay

[amolaplay]

nessuna idea??

[paolo764]

visto che sono 3 pc.....installagli sopra il cisco client ( su ognuno dei 3 ) e fai vpn client to site.
spesa 0
sbattimento > = 0
successo :immediato.

alternativa.
sostituisci il router ( il gw del site A ) con un cisco vpn capable.
spesa 300/400 euri
sbattimento + 1
successo: garantito con valore aggiunto dato dal nuovo giocattolo

altra alternativa
agiungi un firewall netscreen in transparent mode ( layer 2 ) messo in lan
spesa : 80/100 euro se lo prendi piccolo ( 5xp che è fuori produzione uppure 5gt )
sbattimento : + 1
successo: garantito con valore aggiunto di sicurezza della rete.

[amolaplay]

Paolo, grazie per la risposta e per l'interesse.
La prima soluzione (client) è quella già adottata in passato, ma che va esclusa in quanto si richiede una vpn Hardware in entrambe le parti.
Tra le altre soluzioni, ritengo quella di maggiore interesse la terza (firewall).

Che intendi "aggiungi un firewall netscreen in transparent mode ( layer 2 ) messo in lan"?

A tal proposito ti chiedo:

- Collegamento: da quel che immagino, il firewall andrà connesso al Gateway (porta ethernet del gateway e porta wan del firewall?).
- Quindi bisognerà creare una regola nel gateway smistando il traffico internet verso il firewall.
- bisognerà cambiare nel Gateway gli indirizzi LAN (mettendo quello del firewall)
- bisognerà ricreare tutti i processi del gateway nel firewall

Sono necessari tutti questi passaggi?

Ed infine (e soprattutto) come risolvo la questione della sovrapposizione delle 2 lan che ruotano entrambe su 192.168.1.x? Come anticipato, vorrei fare in modo che la rete A quando si apre il tunnel, venga vista ad es come 192.168.3.x

Grazie ancora e....

[paolo764]

Quote:

Originariamente inviato da amolaplay

Paolo, grazie per la risposta e per l'interesse.
La prima soluzione (client) è quella già adottata in passato, ma che va esclusa in quanto si richiede una vpn Hardware in entrambe le parti.
Tra le altre soluzioni, ritengo quella di maggiore interesse la terza (firewall).

Che intendi "aggiungi un firewall netscreen in transparent mode ( layer 2 ) messo in lan"?

A tal proposito ti chiedo:

- Collegamento: da quel che immagino, il firewall andrà connesso al Gateway (porta ethernet del gateway e porta wan del firewall?).
- Quindi bisognerà creare una regola nel gateway smistando il traffico internet verso il firewall.
- bisognerà cambiare nel Gateway gli indirizzi LAN (mettendo quello del firewall)
- bisognerà ricreare tutti i processi del gateway nel firewall

Sono necessari tutti questi passaggi?

Ed infine (e soprattutto) come risolvo la questione della sovrapposizione delle 2 lan che ruotano entrambe su 192.168.1.x? Come anticipato, vorrei fare in modo che la rete A quando si apre il tunnel, venga vista ad es come 192.168.3.x

Grazie ancora e....

no,...non sono necessari tutti questi passaggi.....se lo fai lavorare in layer 2 ( cioè come uno switch )
praticamente crei un interfaccia vlan1 sul netscreen al quale associ un ip della LAN ( quella dei pc ) e stop. l'ip server solo per il management della vpn.
i pc continueranno ad avere come gateway il router.
sul firewall fai le tue regole di sicurezza e in piu configuri la vpn che verra gestita dal firewall e non dal router )

fisicamente connetti il router al firewall e i pc al firewall.

se invece lo vuoi far lavorare a livello 3 ( routing/natting ) devi fare tutto quello che dici tu...cioè ip diversi....collegamento point to point tra firewall e router ...cambiare gil gateway dei pc e quant'altro.

per l'overlap delle reti devi per forza di cose nattare da un lato.
in alternativa devi rivedere il tuo piano di indirizzamenti ip.

[amolaplay]

....ma tutti i firewall vpn mi consentono il nat della rete lan nel tunnell?
Di solito come si individua questa regola nelle specifiche o nei pannelli di controllo dei dispositivi?
Ho provato a fare una ricerca sui manuali di alcuni di essi (ad es NetGear) ma sinceramente non sono riuscito ad individuarla (mentre appare ben chiaro come configurare la vpn lan to lan)

[paolo764]

Quote:

Originariamente inviato da amolaplay

....ma tutti i firewall vpn mi consentono il nat della rete lan nel tunnell?
Di solito come si individua questa regola nelle specifiche o nei pannelli di controllo dei dispositivi?
Ho provato a fare una ricerca sui manuali di alcuni di essi (ad es NetGear) ma sinceramente non sono riuscito ad individuarla (mentre appare ben chiaro come configurare la vpn lan to lan)

quelli che conosco io si. su tutti puoi fare il nat sulla vpn
sul netgear non ti so aiutare. non li uso e non ne conosco la gui.

[amolaplay]

Paolo,
grazie ancora per l'interesse.
Potresti indicarmi un modello che conosci da consentirmi sia la configurazione dell'end point vpn che il nat della lan?

[paolo764]

figurati.

se vuoi apparati seri ti consiglio i juniper o i cisco.

-potresti usare un 5xp ( fuori produzione ) che trovi usato a 80/100 euro.
lavora sia in layer 2 che in layer 3 ed è di facile configurazione.
calcola che il modello proposto è un apparato SOHO.


- potresti usare un 5gt ( con wireless oppure senza ) che costa su 400 euro
lavora sia in layer 2 che in layer 3 ed è di facile configurazione.
anche questo è un apparato SOHO.

- se vuoi qualcosa di più impegnativo puoi sempre andare su cisco che non ha biogno di presentazioni.

puoi scegliere sia la serie pix ( fuori produzione ma per questo fai buoni affari a prezzi decenti ) o sulla serie ASA ( preparati a spendere qualche migliaio di euro ).

altre marche non te ne so consiglilare poiche per il alvoro che faccio uso prevalentemente apparati di tipo businness.

io personalmente ti consiglierei i juniper per semplicità d'uso...ma se ti interessa conoscere il mondo cisco ( che è la bibbia del networking ) potresti usare i pix ( ne vendo uno nel mercatino ) anche se sono effettivamente piu complicati da configurare.

i prezzi riguardano apparati usati. per il nuovo il prezzo sale.

ovvio che poi è tutta questione di budget, quindi verifica quanto puoi spendere e poi ti regoli.
sicuramente esitono altre marche che fanno le stesse cose a prezzi più contenuti.
ciao

[amolaplay]

Avevo ben capito immaginando che eri del settore.
Vorrei optare per juniper, data la semplificazione nella procedura di configurazione.
sto cercando in rete i prodotti da te segnalati.
Nell'eventualità di difficoltà nella configurazione, c'è la possibilità di contattarti in privato?

[paolo764]

scrivi sul forum che se posso ti aiuto.
ad ogni modo ci sono delle guide per i netscreen e interi forum dedicati.
sono in inglese spero non sia un problema per te.

verifica inoltre se qualcuno sa consigliarti apparati che costano meno e fanno le stesse cose....uno sguardo in giro non fa mai male.

[amolaplay]

Paolo, scusa se ti rompo ancora.
Purtroppo riscontro grandi difficoltà a trovare sti benedetti firewall.
Anche il netscreen 5gt risulta fuori produzione (opterei per il nuovo e non per l'usato).
Volevo chiederti: in merito alla possibilità di configurare il dispositivo in transparent mode (layer2), visto che non sempre è riportato nelle specifiche dei dispositivi, basta l'indicazione "switch"? (Es: "switch 8 porte").
Oppure bisogna che sia specificato "modalità transparent mode"?

Guardando in rete ho individuato questi modelli:

- DrayTek Vigor 2930 (o 2950)
- D-LINK DFL-210 4P
- Netgear FVS338 (o FVX538)

Potrebbero andare bene?.....

[paolo764]

eh, i juniper non li trovi al mediaworld purtoppo....cmq...no, la scritta switch non basta. quello sta ad indicare uno switch integrato che non è la stessa cosa.

ad ogni modo...

il drytek mi sembra completo . supporta ssl, ipsec, qos,load sharing etc....ma la marca non la conosco.
non mi sembra si possa mettere in transparent....ma a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping.

il dlink ha meno funzionalità ( manca ssl ) ma "sembra" sia configurabile in transparent mode. ha un ips interno che non guasta mai..
ribadisco che a sto punto lascia stare il transparent mode ( che si usa quando ci sei costretto poiche non puoi fare nessuna modifica sulla rete ) e configurarlo come si deve che tanto ci metti poco.
marca conosciuta ( usa chipset cisco rebrandizzati ) quindi supporto credo che non manchi.

il netgear è simile al dlink ( manca ssl ) anche se mi sembra meno completo. supporta fino a 50 vpn tunnel contemporanei...mentre il drytek mi semba che arrivi a 100.....( ma non credo che li utilizzerai ).

gli algoritmi di criptazine sono piu o meno gli stesso per tutti e 3 i modelli.... md5-sha/des,3des e compagnia bella....( la vpn quando la farai falla in 3des....ma devi verificare se il cisco 3000 che hai lo supporta.) uno "sh ver" sull'apparato ti dovrebbe dare le indicazioni che ti servono.

i prezzi non li ho guardati...ma fossi in te probabilmente starei su quello che costa meno e poi sceglierei tra il dlink ( visto la bontà della marca ) o proverei per curiosità il drytek ( che ha delle feature carine ) anche se non l'ho mai provato.

ciao

[samu76]

valuta anche zeroshell, 1 pc vecchio con 2 schede di rete e via

[amolaplay]

" a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping".

Paolo, ma i pc della lan sono tanti (oltre a stampanti), e non mi pare conveniente riassegnare gli indirizzi a tutte le macchine. Quindi dovrei comunque considerare un nat nel tunnel per i 2/3 pc sulla VPN, oppure .....?

Samu, grazie anche a te per l'interesse. Puoi spiegarmi meglio la tua idea?

[nuovoUtente86]

Quote:

Originariamente inviato da samu76

valuta anche zeroshell, 1 pc vecchio con 2 schede di rete e via

confermo, ottima idea.

[paolo764]

o fai source nat o rivedi gli ip o metti un firewall in trasnparent mode.
non mi pare ci siano altre soluzioni.

zeroshell fa quello che farebbe un firewall...solo che lo fai e via software con un muletto .

[nuovoUtente86]

per la sovrapposizione di indirizzi esiste una tecnica molto più elegante: il double-Nat.

[amolaplay]

" a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping".

Paolo, ma i pc della lan sono tanti (oltre a stampanti), e non mi pare conveniente riassegnare gli indirizzi a tutte le macchine. Quindi dovrei comunque considerare un nat nel tunnel per i 2/3 pc sulla VPN, oppure .....?

Samu, grazie anche a te per l'interesse. Puoi spiegarmi meglio la tua idea?

[nuovoUtente86]

Quote:

Originariamente inviato da amolaplay

" a questo punto visto che devi fare il lavoro fallo bene e rivedi la lan interna ( 3 pc non ci vuole molto ) assegnando una punto punto tra router e firewal e riassegnando l'indirizzamento in lan. cosi non devi manco fare nat e ti risolvi un problema di overlapping".

Paolo, ma i pc della lan sono tanti (oltre a stampanti), e non mi pare conveniente riassegnare gli indirizzi a tutte le macchine. Quindi dovrei comunque considerare un nat nel tunnel per i 2/3 pc sulla VPN, oppure .....?

Samu, grazie anche a te per l'interesse. Puoi spiegarmi meglio la tua idea?

Come ti dicevo andrebbe utilizzato un doppio-NAT, ma ora non ho il tempo di spiegarti esattamente come si implementa.