Vpn con Zywall 5

[Darknet75]

Ciao ho realizzato una vpn tra due sedi con due zywall 5.

La sede A ha una connessione internet con ip pubblico statico

La sede B ha una connessione internet mobile 4G con ip privato

Sono riuscito a creare il tunnel ipsec e quindi a collegare tra di loro le due lan private dietro gli zywall.

Adesso quello che devo fare ma non capisco come è raggiungere attraverso internet (sede A) una macchina (NVR) che si trova nella sede B.

Suggerimenti ??

Grazie in anticipo

[luis91]

La VPN site-to-site è quindi correttamente su?

Se si probabilmente devi fare delle regole che consentano il traffico in ingresso dalla LAN remota su entrambi i firewall.

[Darknet75]

Quote:

Originariamente inviato da luis91

La VPN site-to-site è quindi correttamente su?

Se si probabilmente devi fare delle regole che consentano il traffico in ingresso dalla LAN remota su entrambi i firewall.

Si il tunnel è attivo, entrambi le reti dietro gli zywall si vedono tra di loro.
Se per regole intendi quelle del firewall non credo che il problema sia quello visto che nei log non ho visto niente di bloccato, e cmq ho fatto delle prove anche disabilitando il firewall.
Il problema secondo me è nel routing da impostare in modo da girare la connessione in ingresso sulla wan (Sede A) verso il tunnel VPN .

[zeMMeMMe]

Difficile dare consigli se non metti la configurazione completa che hai usato.
Ovviamente hai impostato due sottoreti DIVERSE per la sede A e la sede B.

Cosa significa poi "le reti si vedono"?
Devi pingare e poi eventualmente "telnettare" servizi

[Darknet75]

Quote:

Originariamente inviato da zeMMeMMe

Difficile dare consigli se non metti la configurazione completa che hai usato.
Ovviamente hai impostato due sottoreti DIVERSE per la sede A e la sede B.

Cosa significa poi "le reti si vedono"?
Devi pingare e poi eventualmente "telnettare" servizi

Ciao le reti si vedono perché ad esempio da un pc della rete A pingo ed accedo All'NVR che si trova nella rete B, e viceversa dalla rete B pingo e riesco da accedere alle risorse di rete della rete A (PC,Nas, Stampanti).
Ovviamente sono due sottoreti diverse
A 192.168.10.0/24
B 192.168.40.0/24

Se serve posso fare degli screenshot della connessione VPN dei due Zywall

[zeMMeMMe]

Scusa sono un po' confuso, ma allora qual'è il problema?
Nel primo post sembrerebbe essere l'accesso di un dispositivo sulla rete B (partendo dalla A), ma ora scrivi che puoi collegarti.
Qualcosa mi sfugge

[Darknet75]

Quote:

Originariamente inviato da zeMMeMMe

Scusa sono un po' confuso, ma allora qual'è il problema?
Nel primo post sembrerebbe essere l'accesso di un dispositivo sulla rete B (partendo dalla A), ma ora scrivi che puoi collegarti.
Qualcosa mi sfugge

Il problema è che io voglio raggiungere l'nvr che si trova nella rete B da internet è per farlo voglio passare per la connessione internet della rete A (ip pubblico) visto che la rete B non è raggiungibile da internet (IP privato).

[zeMMeMMe]

Quote:

Originariamente inviato da Darknet75

Il problema è che io voglio raggiungere l'nvr che si trova nella rete B da internet è per farlo voglio passare per la connessione internet della rete A (ip pubblico) visto che la rete B non è raggiungibile da internet (IP privato).

Vediamo se ho capito bene: ti serve un ulteriore nodo della VPN.

In pratica da "qualcosa" (tipo un portatile) ti vuoi collegare alla rete A, e da lì alla rete B.

Esistono (per quanto ne so) due client Zyxel VPN software, uno specifico a pagamento, e l'altro... identico ma generico (che bene o male funziona), che si chiama greenbow

Francamente, in una situazione del genere, opererei in maniera diversa, ma spero che il suggerimento sopra si adatti alla tua situazione

[Darknet75]

Quote:

Originariamente inviato da zeMMeMMe

Vediamo se ho capito bene: ti serve un ulteriore nodo della VPN.

In pratica da "qualcosa" (tipo un portatile) ti vuoi collegare alla rete A, e da lì alla rete B.

Esistono (per quanto ne so) due client Zyxel VPN software, uno specifico a pagamento, e l'altro... identico ma generico (che bene o male funziona), che si chiama greenbow

Francamente, in una situazione del genere, opererei in maniera diversa, ma spero che il suggerimento sopra si adatti alla tua situazione

A me accedere da internet alla rete A in VPN non serve, il mio scopo è accedere da un qualsiasi pc (browser web) o app smartphone all'ip dell'NVR , userei la rete A solo come tramite.
Questo secondo nodo vpn è interessante se da un client accedo in vpn alla rete A ottenendo un ip della rete A , poi potrei raggiungere la rete B attraverso la vpn già creata.
Fattibile con un client da pc ma non da smartphone poichè lo zywall 5 non supporta il protocollo LT2P.

Tu come faresti?

Io stavo cercando di capire se è soprattutto come, modificando la VPN già creata posso far assegnare all'NVR un IP della rete A

[zeMMeMMe]

Quote:

Originariamente inviato da Darknet75

A me accedere da internet alla rete A in VPN non serve, il mio scopo è accedere da un qualsiasi pc (browser web) o app smartphone all'ip dell'NVR , userei la rete A solo come tramite.
Questo secondo nodo vpn è interessante se da un client accedo in vpn alla rete A ottenendo un ip della rete A , poi potrei raggiungere la rete B attraverso la vpn già creata.

Esattamente

Quote:

Fattibile con un client da pc ma non da smartphone poichè lo zywall 5 non supporta il protocollo LT2P.

Tu come faresti?

Come detto prima: non userei gli zywall del tutto

Quote:

Io stavo cercando di capire se è soprattutto come, modificando la VPN già creata posso far assegnare all'NVR un IP della rete A

No. Non puoi farlo (almeno per quanto ne so), perchè non funzionerebbe ovviamente il routing indispensabile per gestire una situazione in cui il broadcast ethernet non funziona per motivi ovvi.

[Darknet75]

Quote:

Originariamente inviato da zeMMeMMe

Esattamente
Come detto prima: non userei gli zywall del tutto
No. Non puoi farlo (almeno per quanto ne so), perchè non funzionerebbe ovviamente il routing indispensabile per gestire una situazione in cui il broadcast ethernet non funziona per motivi ovvi.

Cosa useresti?

rimanendo in Zyxel ho visto che i nuovi USG hanno la possibilità di girare una connessione ingresso sulla wan verso il tunnel vpn, oltre alla possibilità di usare il protocollo LT2P e SSL.

Cmq grazie per l'aiuto.

[zeMMeMMe]

Personalmente userei un "baracchino", cioè un NAS QNAP del tipo più economico (100 o forse 150 euro) per creare la VPN direttamente dai client Windows (o linux-android)