[HELP] 2 Zywall2 ed una VPN...

[N3V3RM1ND]

Dunque ragazzi, ho bisogno del vostro aiuto...

La situazione è la seguente:

Due uffici, che chiameremo UFFICIO-A ed UFFICIO-B devono essere messi in VPN, sotto lo stesso dominio Win2003.

Configurazione di UFFICIO-A:
- Controller di dominio principale
- ADSL Alice Business con 8 ip statici
- Ufo Robot della suddetta Alice
- Zywall 2
- server di routing con 2 schede di rete (prende la connessione internet dall'ADSL e la rimanda nella rete interna)

Configurazione di UFFICIO-B:
- ADSL Alice Business con 8 ip statici
- Ufo Robot della suddetta Alice
- Zywall 2

Riesco a stabilire il tunneling fra i due Zywall, ma non riesco a far dialogare i due uffici.

Come mi consigliate di procedere? Considerate che deve essere necessariamente una VPN site-to-site, in quanto tutte le macchine presenti nei due uffici devono risultare appartenenti allo stesso unico dominio, e sfruttarne tutte le risorse, compreso il fatto di navigare in Internet secondo le regole di routing imposte dal routeserver (eventualmente servisse un PC che faccia da routeserver anche nell'UFFICIO-B non è un problema acquistarlo e configurarlo)...

Grazie a chiunque vorrà aiutarmi!

[CH1CC0]

mmm... puoi postare qualche info in più?
soprattutto sull'indirizzamento che hai configurato all'interno dei 2 uffici.
mi viene il dubbio che, mentre gli zywall sappiano dove trovarsi (tramite ip pubblico configurato per la VPN), gli altri apparati della rete di un ufficio non sappiano dove trovare i loro "colleghi".
Magari è un problema di rotte.
L'apparato che gestisce la LAN, sa che l'altro ufficio lo deve cercare dietro allo zywall?

[N3V3RM1ND]

Quote:

Originariamente inviato da CH1CC0

mmm... puoi postare qualche info in più?
soprattutto sull'indirizzamento che hai configurato all'interno dei 2 uffici.
mi viene il dubbio che, mentre gli zywall sappiano dove trovarsi (tramite ip pubblico configurato per la VPN), gli altri apparati della rete di un ufficio non sappiano dove trovare i loro "colleghi".
Magari è un problema di rotte.
L'apparato che gestisce la LAN, sa che l'altro ufficio lo deve cercare dietro allo zywall?

Ben volentieri di postarti info in più... ti dico subito che non ho la più pallida idea di come gestire l'indirizzamento, o meglio, non so che direttive seguire per crearlo...

Dunque, vediamo di capire meglio la situazione... sulla macchina dell'UFFICIO-A io ho un Windows 2003 Server, che fa da routeserver per la rete aziendale e che ha 3 schede di rete. Una cosa del genere:

Scheda 1: IP 192.168.1.213 --> Zywall2 con IP 192.168.1.13 --> WAN IP FISSO --> Internet
Scheda 2: IP 192.168.31.1 --> Lan aziendale che lo usa come internet gateway
Scheda 3: IP 192.168.31.129 --> router wifi --> ufficio remoto in linea d'aria che accede alla rete tramite wi-fi

Attualmente UFFICIO-B è collegato ad UFFICIO-A con un collegamento punto-punto su linea ISDN, ovvero ci sono due router ISDN nei due uffici con una connessione always on a costo fisso mensile.

Aggiungo che la subnet mask usata è del tipo 255.255.255.192, quindi ho 4 subnet, di cui l'ultima inutilizzata. Nel routeserver ho la route statica da 192.168.31.64 a 192.168.31.61, e la route statica da 192.168.31.128 a 192.168.31.1

Nell'UFFICIO-B per ora considerate ancora vergine la cosa, ovvero ho solo lo Zyxel con un IP pubblico in WAN ed un IP privato in LAN, collegato ad un singolo PC con Windows 2000 professional. Alla fine del lavoro devo avere dall'altra parte un controller di dominio replica di quello presente in UFFICIO-A ed un server exchange replica di quello presente in UFFICIO-A

Spero queste informazioni siano sufficienti a dipanare la matassa, altrimenti chiedete pure, e di nuovo grazie!

[CH1CC0]

Parto dall'inizio:

1) direttive per creare l'indirizzamento:
oltre alle regole di base, non è che ci sia molto.
puoi usare tutto o parte di queste network:
10.0.0.0 -> 10.255.255.255
172.16.0.0 -> 172.31.255.255
192.168.0.0 -> 192.168.255.255

2) E' importante delineare bene le diverse network, non sottostimarle (così non sarai costretto a modifiche in caso di crescita) e soprattutto è meglio evitare overlapping, cioé sovrapposizione di indirizzi (es 2 network uguali o simili nei 2 uffici)

3) per le subnet che hai indicato, sinceramente non ho molto chiara la situazione, aggiungi qualche info:

ufficio A:
rete X: da IP ad IP (o ancora meglio NETWORK e SUBNET MASK)
relativo ip assegnato a "macchine importanti" es zywall, routeserver e router
...

ufficio B:
come sopra

Ovviamente chi gestisce la rete (e nel caso dell'ufficio A è il routeserver) deve conoscere ESATTAMENTE cosa trovare e dove trovarlo.
Quindi, mentre tutte le reti direttamente collegate, sono conosciute di default, le altre gli devono essere notificate (o via update dinamici oppure a manina, es tramite "route add ...").

4) Zywall
4.1) VPN mi sembra che la config della VPN non sia un problema (end-point, encryption, password varie...), quindi salterei in blocco questa parte.
4.2) conoscenza delle reti: anche gli zywall devono conoscere ESATTAMENTE che reti possono trovare dall'altra parte della VPN

5) una conferma sulla gestione dell'ADSL: "ufo robot" è un router con interfaccia ethernet direttamente connesso allo zywall?

[N3V3RM1ND]

Quote:

Originariamente inviato da CH1CC0

Parto dall'inizio:

1) direttive per creare l'indirizzamento:
oltre alle regole di base, non è che ci sia molto.
puoi usare tutto o parte di queste network:
10.0.0.0 -> 10.255.255.255
172.16.0.0 -> 172.31.255.255
192.168.0.0 -> 192.168.255.255

non ho capito questo punto...

Quote:

Originariamente inviato da CH1CC0

2) E' importante delineare bene le diverse network, non sottostimarle (così non sarai costretto a modifiche in caso di crescita) e soprattutto è meglio evitare overlapping, cioé sovrapposizione di indirizzi (es 2 network uguali o simili nei 2 uffici)

Cioè? Tieni conto che i due uffici devono far parte di un unico dominio... a parte questo, se hai suggerimenti per migliorare le impostazioni dei network, spara pure.

Quote:

Originariamente inviato da CH1CC0

3) per le subnet che hai indicato, sinceramente non ho molto chiara la situazione, aggiungi qualche info:

ufficio A:
rete X: da IP ad IP (o ancora meglio NETWORK e SUBNET MASK)
relativo ip assegnato a "macchine importanti" es zywall, routeserver e router
...

UFFICIO-A: da 192.168.31.1 a 192.168.31.51
Routeserver ha 3 schede di rete, con gli ip che ti ho dato nell'altro messaggio.
Zywall ha l'IP 192.168.1.1 e IP pubblico preso dal router telecom, scelto nella rosa degli 8 IP pubblici assegnatici.

Quote:

Originariamente inviato da CH1CC0

ufficio B:
come sopra

UFFICIO-B: da 192.168.31.66 a 192.168.31.70.
Zywall IP 192.168.31.73 e IP pubblico preso dal router Telecom, scelto nella rosa degli 8 IP pubblici assegnatici.

Quote:

Originariamente inviato da CH1CC0

Ovviamente chi gestisce la rete (e nel caso dell'ufficio A è il routeserver) deve conoscere ESATTAMENTE cosa trovare e dove trovarlo.
Quindi, mentre tutte le reti direttamente collegate, sono conosciute di default, le altre gli devono essere notificate (o via update dinamici oppure a manina, es tramite "route add ...").

Qui mi servirebbero maggiori spiegazioni

Quote:

Originariamente inviato da CH1CC0

4) Zywall
4.1) VPN mi sembra che la config della VPN non sia un problema (end-point, encryption, password varie...), quindi salterei in blocco questa parte.
4.2) conoscenza delle reti: anche gli zywall devono conoscere ESATTAMENTE che reti possono trovare dall'altra parte della VPN

Ti confermo che la config della VPN non è un problema, in quanto dai log degli Zywall vedo che il tunneling viene correttamente creato. Per il punto 4.2 mi pare di capire che devo definire delle tabelle di routing negli Zywall, giusto?

Quote:

Originariamente inviato da CH1CC0

5) una conferma sulla gestione dell'ADSL: "ufo robot" è un router con interfaccia ethernet direttamente connesso allo zywall?

Mi spiago meglio: "ufo robot" sarebbe il famoso router ethernet ad una sola porta dato in bundle dalla Telecom insieme alla connessione Alice, sia essa business o casa. Tanto per capirci, è quello in questa immagine:

[CH1CC0]

Quote:

Originariamente inviato da N3V3RM1ND

non ho capito questo punto...

Quelle che ti ho scritto sono le reti private che ognuno può usare "indiscriminatamente" (a patto di non mostrarle all'esterno della propria rete).

Quote:

Originariamente inviato da N3V3RM1ND

Cioè? Tieni conto che i due uffici devono far parte di un unico dominio... a parte questo, se hai suggerimenti per migliorare le impostazioni dei network, spara pure.

Dominio: questione relativa alla configurazione del sistema operativo
Più network all'interno dello stesso dominio non sono assolutamente un problema.

Quote:

Originariamente inviato da N3V3RM1ND

UFFICIO-A: da 192.168.31.1 a 192.168.31.51
Routeserver ha 3 schede di rete, con gli ip che ti ho dato nell'altro messaggio.
Zywall ha l'IP 192.168.1.1 e IP pubblico preso dal router telecom, scelto nella rosa degli 8 IP pubblici assegnatici.

UFFICIO-B: da 192.168.31.66 a 192.168.31.70.
Zywall IP 192.168.31.73 e IP pubblico preso dal router Telecom, scelto nella rosa degli 8 IP pubblici assegnatici.

Ok, quindi possiamo riassumere:
RouteServer conosce:
192.168.31.0 255.255.255.192 direttamente connessa
192.168.1.0 255.255.255.0 direttamente connessa
192.168.31.128 255.255.255.192 direttamente connessa
192.168.31.64 255.255.255.192 dietro allo zywall in ufficio A

per controllare quest'ultima info, prova a fare
"tracert 192.168.31.66" dal routeserver e vedi se e dove si blocca

Zywall (in ufficio-A) conosce:
192.168.1.0 255.255.255.0 direttamente connessa
192.168.31.0 255.255.255.192 dietro al routeserver
192.168.31.128 255.255.255.192 dietro al routeserver
192.168.31.64 255.255.255.192 dietro al tunnel VPN

Zywall (in ufficio-B) conosce:
192.168.31.64 255.255.255.192 direttamente connessa
192.168.31.0 255.255.255.192 dietro al tunnel VPN
192.168.31.128 255.255.255.192 dietro al tunnel VPN
eventualmente anche la 192.168.1.0 255.255.255.0 dietro al tunnel VPN (mo non è obbligatoria)

Quote:

Originariamente inviato da N3V3RM1ND

Qui mi servirebbero maggiori spiegazioni

Da terminale di windows prova ad inserire il comando "route" e ti darà un bell'help di spiegazione, altrimenti usa google.
A memoria, ricordo che il comando per aggiungere staticamente delle rotte su WIN è:
"route add -p NETWORK SUBNET_MASK METRICA"
(cmq per conferma guarda l'help)

Quote:

Originariamente inviato da N3V3RM1ND

...mi pare di capire che devo definire delle tabelle di routing negli Zywall, giusto?

Esatto, la logica da usare è quella che ho scritto nella sezione "Zywall conosce..."

Cmq, per aiutarti nell'identificazione dei problemi, usa tantissimo i comandi
"ping" e "tracert" (o "traceroute" in ambienti diversi da windows).
Ti servono per capire dove sono i problemi di raggiungibilità.

[N3V3RM1ND]

Grazie, domani faccio un po' di prove e ti faccio sapere