Vpn, maledetta vpn

[Teo ssj]

Sto iniziando a sclerare con la vpn

dopo aver praticamente cotto il 3com (upgrade del firmware seguito da loop infinito al boot del suddetto) abbiamo preso un altro zyxel 652h

Ora la situazione è la seguente

portatile di test su adsl A, ip 192.168.2.x collegato ad un 652h

lan 192.168.1.x su adsl B, 2000/3 server su 192.168.1.200 che fa da gateway alla lan, zywall 10 su 192.168.170.2 (gateway del 2000/3 server), 652h su 192.168.170.1 (gateway dello zywall)

impostando la vpn come da manuale zyxel sui due router la vpn si attiva ma dalla lan riesco a pingare solo il router e non il portatile.

Cosa che più mi preme invece è stabilire la vpn dallo zywall (sarà la situazione definitiva)
Impostandola come da manuale continua a ritrasmettere gli ike e non si attiva la vpn.

Sul router ho messo tutto il traffico wan to lan e lan to wan in forward ma non cambia nulla

C'è qualcuno che potrebbe indicarmi cosa devo andare a verificare prima di prendere e sbattere lo zywall contro il muro ?

Grazie

[igiolo]

Quote:

Originariamente inviato da Teo ssj
Sto iniziando a sclerare con la vpn

dopo aver praticamente cotto il 3com (upgrade del firmware seguito da loop infinito al boot del suddetto) abbiamo preso un altro zyxel 652h

Ora la situazione è la seguente

portatile di test su adsl A, ip 192.168.2.x collegato ad un 652h

lan 192.168.1.x su adsl B, 2000/3 server su 192.168.1.200 che fa da gateway alla lan, zywall 10 su 192.168.170.2 (gateway del 2000/3 server), 652h su 192.168.170.1 (gateway dello zywall)

impostando la vpn come da manuale zyxel sui due router la vpn si attiva ma dalla lan riesco a pingare solo il router e non il portatile.

Cosa che più mi preme invece è stabilire la vpn dallo zywall (sarà la situazione definitiva)
Impostandola come da manuale continua a ritrasmettere gli ike e non si attiva la vpn.

Sul router ho messo tutto il traffico wan to lan e lan to wan in forward ma non cambia nulla

C'è qualcuno che potrebbe indicarmi cosa devo andare a verificare prima di prendere e sbattere lo zywall contro il muro ?

Grazie

Non conosco gli zyxel (o meglio li conosco ma lavoro solo su cisco) ma vorrei farti un paio di domande:
Tunnelling o transport?
Gli zyxel permettono di creare la vpn con un qualsiasi indirizzo di una qualsiasi classe?Magari nn creano la vpn appunto xkè tu hai messo in forward tutto...magari se specificassi gli indirizzi "sensibili" o le porte.
per lo scambio delle chiavi (fase ike) serviranno ai due router chiavi in comune oppure utilizzi il servizio vpn di windows??Impostazioni nat??
Ci sarebbero mooolte altre cose da chiarire,se ti servono informazioni...

[Teo ssj]

Questa è la config sullo zywall10

Key Management KE
Negotiation Mode Main

Enable Extended Authentication
Server Mode spuntato questo
Client Mode
User Name niente
Password niente

Local
AddressRange
192.168.1.0 - 192.168.1.255

Remote
Range Address
192.168.2.1 - 192.168.1.255
--------------------------------------------------------------------------------
DNS Server (for IPSec VPN)
0.0.0.0
--------------------------------------------------------------------------------
Authentication Method
Pre-Shared Key
--------------------------------------------------------------------------------
My IP Address ip statico adsl Lan
Secure Gateway Address ip statico adsl portatile

Encapsulation Mode Tunnel

--------------------------------------------------------------------------------
ESP
Encryption Algorithm DES
Authentication Algorithm DES
Authentication Algorithm SHA1

[Teo ssj]

questa è la configurazione del router su adsl del portatile

VPN - IKE

IPSec Key Mode IKE
Negotiation Mode Main
Encapsulation Mode Tunnel
DNS Server (for IPSec VPN) 0.0.0.0

Local
Local Address Type Range
IP Address Start 192.168.2.1
End / Subnet Mask 192.168.2.255

Remote
Remote Address Type Range
IP Address Start 192.168.1.1
End / Subnet Mask 192.168.1.255

Address Information
Local ID Type IP
Content 0.0.0.0
My IP Address ip statico adsl portatile
Peer ID Type IPl
Content 0.0.0.0
Secure Gateway Address ip statico adsl lan

Security Protocol
VPN Protocol ESP
Pre-Shared Key impostata uguale all'altro
Encryption Algorithm DES
Authentication Algorithm SHA1

I router li ho resettati questa mattina e impostato solo la adsl, il resto (firewall nat ecc) è a default

ps: non è che hai msn

[igiolo]

Quote:

Originariamente inviato da Teo ssj
questa è la configurazione del router su adsl del portatile


Local
Local Address Type Range
IP Address Start 192.168.2.1
End / Subnet Mask 192.168.2.255

Remote
Remote Address Type Range
IP Address Start 192.168.1.1
End / Subnet Mask 192.168.1.255


I router li ho resettati questa mattina e impostato solo la adsl, il resto (firewall nat ecc) è a default

ps: non è che hai msn

hai sbagliato l'end subnet ecc metti 255.255.255.0 in entrambe,poi forse anche il peer.
E poi il fatto che tu faccia la vpn tra un router e un fw dovrebbe precludere la spunta su "site to site"...aspetta che mi informo meglio!ciaooooo

Ps...nn ho msn....

[Teo ssj]

essendo un ip range il manuale dice di impostare il primo e l'ultimo ip della lan privata da collegare in vpn

in teoria così dovrebbe essere una vpn lan to lan (è l'esempio sul sito zyxel che ho seguito per configurare il router e il fw)

cmq ora ho impostato nel nat sua del router LAN che la porta 500 venga mandata su 192.168.170.2 (ip del firewall) ed ora almeno facendo ping dal portatile nel log del router vedo la richiesta (prima manco questa..) però va sempre in ike retransmit

Peccato tu non abbia msn almeno ti stressavo in privato
Si riuscisse a parlare con qualcuno dell'assistenza zyxel... sempre numero occupato

[igiolo]

nn è che mi mandi in pvt la mail vero?

[CabALiSt]

Scusa, ti faccio un paio di domande perchè sono fuso e non riesco a seguirti bene nei posts.

Tu vuoi creare una lan to lan su adsl con ip pubblico statico giusto?

Devi farla tra i due routers o tra router e server?

Hai impostato le route statiche per la vpn?

Eventualmente msn in pvt.

Ciauz.

[igiolo]

Quote:

Originariamente inviato da CabALiSt
Scusa, ti faccio un paio di domande perchè sono fuso e non riesco a seguirti bene nei posts.

Tu vuoi creare una lan to lan su adsl con ip pubblico statico giusto?

Devi farla tra i due routers o tra router e server?

Hai impostato le route statiche per la vpn?

Eventualmente msn in pvt.

Ciauz.

Tra un router e un fw.

[Teo ssj]

Quote:

Originariamente inviato da CabALiSt
Scusa, ti faccio un paio di domande perchè sono fuso e non riesco a seguirti bene nei posts.

Tu vuoi creare una lan to lan su adsl con ip pubblico statico giusto?

si, tutte e due le adsl hanno ip statico

Quote:

Devi farla tra i due routers o tra router e server?

la devo impostare tra un router da un lato e sul firewall dietro al router dall'altro, ma quando la cosa sarà a regime sarà tra i due firewall (zywall) dietro i router

Quote:

Hai impostato le route statiche per la vpn?

mi potresti spiegare meglio

Quote:

Eventualmente msn in pvt.

Ciauz.

il mio indirizzo di msn è nel profilo sotto il nome

Ciao e grazie

ps: igiolo hai pvt con la mia mail

ppss: domani mattina sarò in ufficio per poco e proverò a contattare zyxel (questa sera sono rimasto in attesa per la bellezza di 72 minuti dopo aver provato a chiamarli tutto il pomeriggio e aver trovate sempre occupato) casomai ci si sente nel pomeriggio

[igiolo]

Quote:

Originariamente inviato da Teo ssj
si, tutte e due le adsl hanno ip statico



la devo impostare tra un router da un lato e sul firewall dietro al router dall'altro, ma quando la cosa sarà a regime sarà tra i due firewall (zywall) dietro i router



mi potresti spiegare meglio



il mio indirizzo di msn è nel profilo sotto il nome

Ciao e grazie

ps: igiolo hai pvt con la mia mail

ppss: domani mattina sarò in ufficio per poco e proverò a contattare zyxel (questa sera sono rimasto in attesa per la bellezza di 72 minuti dopo aver provato a chiamarli tutto il pomeriggio e aver trovate sempre occupato) casomai ci si sente nel pomeriggio

Domani ti mando del materiale zyxel...magari potrebbe servirti..ciaooooo

[Rottweiler]

Se lo zywall è dietro un router questo deve supportare la vpn pass through.. altrimenti, il forward delle porte serve solo per scambiare la chiave ike. Non tutti i router la supportano anche se ormai è una cosa comune..

[Teo ssj]

grazie igiolo

il router davanti allo zywall è uno zyxel 652h che lo dovrebbe supportare

[CabALiSt]

Quote:

Originariamente inviato da Rottweiler
Se lo zywall è dietro un router questo deve supportare la vpn pass through.. altrimenti, il forward delle porte serve solo per scambiare la chiave ike. Non tutti i router la supportano anche se ormai è una cosa comune..

Quoto.

Non consoco il router che utilizzi. in ogni caso controlla se è impostato correttamente.

Cmq sia, anch'io sono al lavoro. Ti contatto nel tardo pom o in serata.

Route statiche:

in dipendenza dal router il momento in cui crei una vpn devi quantomeno controllare che abbia aggiunto in automatico la nuova route per il tunnel ipsec. Se la route per il tunnel c'è controlla che abbia priorità rispetto alla default route altrimenti, se manca (al 99%), creala con priorità maggiore. altrimenti il router si ritroverà pacchetti per una rete non collegata direttamente che tenterà di raggiungere attraverso internet e non attraverso il tunnel ipsec.

Lo stesso dovresti controllare sullo zywall.


Ciauz.

[Teo ssj]

oggi sono finalmente riuscito a parlare con qualcuno di zyxell e vedere passo passo la configurazione

vediamo gli errori che avevo fatto

- per sicurezza sul router lan mi ha fatto verificare di aver disabilitato il firewall (già fatto)

- nelle impostazioni di nat sua only mi ha fatto impostare che tutto il traffico sia passato all'ip wan dello zywall (default era 0.0.0.0)

- nelle regole del firewall mi ha fatto bloccrae tutto il traffico wan to Lan (o lan to wan non mi ricordo ora)

- nella configurazione della vpn mi ha fatto mettere subnet e non range negli indirizzi ip local e remote

- in My IP Address mi ha fatto mettere l'ip wan dello zywall, invece io avevo messo anche qua l'ip pubblico del router.

In teoria ora dovrebbe funzionare, in teoria perchè oggi mi hanno avvisato che da oggi la seconda adsl in ufficio è stata staccata, per cui al momento nessuna prova fatta

ciao e grazie a tutti della disponibilità

[igiolo]

Quote:

Originariamente inviato da Teo ssj
oggi sono finalmente riuscito a parlare con qualcuno di zyxell e vedere passo passo la configurazione

vediamo gli errori che avevo fatto

- per sicurezza sul router lan mi ha fatto verificare di aver disabilitato il firewall (già fatto)

- nelle impostazioni di nat sua only mi ha fatto impostare che tutto il traffico sia passato all'ip wan dello zywall (default era 0.0.0.0)

- nelle regole del firewall mi ha fatto bloccrae tutto il traffico wan to Lan (o lan to wan non mi ricordo ora)

- nella configurazione della vpn mi ha fatto mettere subnet e non range negli indirizzi ip local e remote

- in My IP Address mi ha fatto mettere l'ip wan dello zywall, invece io avevo messo anche qua l'ip pubblico del router.

In teoria ora dovrebbe funzionare, in teoria perchè oggi mi hanno avvisato che da oggi la seconda adsl in ufficio è stata staccata, per cui al momento nessuna prova fatta

ciao e grazie a tutti della disponibilità

Perfetto...vedi che ci andava la sub?Cmq se ti serve il materiale che ho!Ciaoooooo

[Teo ssj]

Quote:

Originariamente inviato da igiolo
Perfetto...vedi che ci andava la sub?Cmq se ti serve il materiale che ho!Ciaoooooo

e che scrivessero meglio la documentazione
io preso
questo e ho fatto pari pari

per la documentazione che hai, tu manda che non fa mai male

ciao e grazie