Separare LAN in più segmenti di rete

[Ziews]

Salve a tutti, ho montato un server a casa con windows server 2008r2.

Tale server deve essere accessibile da casa mia in RDP tramite un solo PC, e da remoto via VPN+RDP.

Il problema è il seguente: non voglio che i pc in remoto via VPN vedano gli altri pc di casa mia, fatta eccezione per quello che accede al server. Questo perchè anche le reti lan remote sono basate su 192.168.1.x esattamente come la lan di casa mia.

La rete di casa è basata su classe di IP 192.168.1.x, con gateway 192.168.1.1.
Il server ha un IP locale basato su 192.168.0.x.

Il pool di IP che assegna in automatico la VPN ai client è sempre, ovviamente, nell'ordine di 192.168.0.x.

Spero di aver reso l'idea, se io imposto una static route sul router che reindirizza le richieste provenienti da 192.168.0.x verso il gateway 192.168.1.1 in modo che il server esca sulla wan, sono punto e a capo o risolverebbe la cosa?

Grazie

[malatodihardware]

Ma la VPN termina sul Windows 2008 oppure su un firewall? Se termina su un firewall puoi fare una regola per permettere la connessione solo all'IP del server..

[Ziews]

Termina sul server, terminasse su un firewall sarebbe semplicissimo

Intanto ho impostato la situazione che avevo descritto, stasera da remoto farò le dovute prove con la vpn

[Ziews]

Come immaginavo, anche se il server esce correttamente su internet nonosante la situazione descritta nel primo post, il router poi non mi permette di aprire le porte verso l'IP del server in quanto risulta fuori dal range della lan :-S

[malatodihardware]

Premessa che tutta la tua rete deve essere su 192.168.0.x, altrimenti non funzionerà niente:
quando crei la VPN sul Windows 2008, scegli "static address pool", quindi, ipotizzando di avere il server con IP 192.168.0.6 metti un range di IP in base al numero necessario, ad esempio da 192.168.0.1 a 192.168.0.5, quindi mettigli subnet mask 255.255.255.248.

I tuoi device (e il tuo router) avranno ovviamente IP sopra all'192.168.0.8

In questo modo la subnet dei client via VPN è minore della tua e quindi non possono accedere al resto della tua rete.

Soluzione semplice ma efficace

[Ziews]

Grazie mille, provo e ti dico

[Ziews]

Ho fatto come mi hai detto.
Server
IP 192.168.0.6
subnet 255.255.255.0
gateway 192.168.0.6
dns 127.0.0.1

VPN pool di indirizzi
da 192.168.0.2 a 0.5
subnet 255.255.255.248

router domestico: 192.168.0.10 i due AP wi-fi sono 0.11 e 0.12
lan di casa in dhcp da 192.168.0.13 in su

Nonostante questo, i client in vpn remota accedono comunque ai miei pc in lan

Ho sbagliato qualcosa?

[malatodihardware]

Perché il server ha come gateway se stesso?
Riesci a postare un ipconfig di un PC che si connette via vpn?

Potrebbe essere che Windows fa comunicare vpn e lan del server..

Inviato dal mio MB525

[Ziews]

E' proprio questo il discorso, secondo me il server routa automaticamente i client vpn sull'IP del server, che essendo in lan rende visibile tutto a tutti.

Fin'ora l'unica "soluzione" funzionante che ho trovato è quella di mettere il server fisicamente fuori lan, pluggato al modem bridge a monte del router e settargli una connessione pppoe manuale (quindi anche io, dalla stanza accanto, in realtà accedevo in wan).

Ma il tutto non ha senso, io ho bisogno che sia in lan a casa mia per spostare roba e per facilità di configurazione

Oltretutto i client vpn prendono come subnet 255.255.255.0 nonostante io gli abbia impostato dal pool statico 255.255.255.248

[malatodihardware]

Quote:

Originariamente inviato da Ziews

Oltretutto i client vpn prendono come subnet 255.255.255.0 nonostante io gli abbia impostato dal pool statico 255.255.255.248

Allora il problema è questo..
Prova a mettere una .240 e vedi se la prendono

[Ziews]

Al momento non posso accedere da remoto essendo a casa, ma ho fatto delle prove assegnando al mio pc un ip compreso nel range che dovrebbe venire assegnato ai client vpn e dandogli come subnet 255.255.255.248, gateway e dns l'ip del router locale (192.168.0.10)

Esco sempre normalmente su internet, da risorse di rete non vedo più gli altri pc ma basta digitare nella casella di ricerca da menù start ad esempio l'IP del mio nas di rete ed ecco che accede senza alcun problema

[malatodihardware]

Riesci a fare un tracert verso l'IP del NAS?

[Ziews]

Certo, ma è normalissimo come se fossi nella stessa subnet. Il primo hop è l'IP del router, il secondo ha già raggiunto il nas.

[malatodihardware]

Ecco, il problema è quello, non è normalissimo.
Se sei in LAN con la subnet corretta (fai pure la prova), il primo hop è direttamente il nas, non il router. Nel tuo caso invece il pc (ritenendo il nas un'ip esterno) lo chiede al gateway e questo, vedendo che fa parte della sua rete interna, gli rigira la richiesta..
Che router hai?

[Ziews]

Un Netgear DGND3700.

Sarebbe da capire il perchè routi in automatico le due subnet...

Aggiungo che se provo a fare un tracert da pc remoto connesso in vpn, sempre verso il nas di casa, il primo hop è il server. (192.168.0.6)

[pippocd]

Problema creazione sottorete con due router
Salve a tutti, grazie per eventuali risposte e abbiate pazienza se non sono preciso nelle indicazioni.

Ho configurato due reti domestiche nel seguente modo:

router 1 (digicom michelangelo wave 150)
--------IP 192.168.0.1
--------DHCP abilitato 192.168.0.2-254 (255.255.0.0)
--------accesso a internet alice, PPOE/LLC 8/35


router 2 (netgear dgn 2000)
--------IP 192.168.1.1
--------DHCP abilitato 192.168.1.2-254 (255.255.255.0)
--------connesso tramite lan a router 1 con impostazione ip statico: 192.168.0.100, gateway 192.168.0.1, subnet mask 255.255.255.0

--tutti i dispositi collegati al router 1 funzionano correttamente,
--i dispositi collegati al router 2 non hanno accesso a internet, se non impostando ognuno IP fisso 192.168.1.x, Subnet 255.255.255.0, gateway MANUALMENTE 192.168.0.1

PROBABILMENTE HO CONFIGURATO NON CORRETTAMENTE IL ROUTER2, qualcuno ha qualche idea? grazie