Help VPN lan-to-lan con firewall zyxel!

[smurfxx]

Ciao a tutti, vi seguo da parecchio tempo ma questa è la prima volta che mi registro e posto, anche perchè houn problema con la configurazione di una VPN.

La mia situazione è questa:

SEDE:
IP: 192.168.0.X
CONNESSIONE: Router Cisco
IP PUBBLICO: Statico

FILIALE:
IP: 192.168.1.X
CONNESSIONE: Alice business (il classico modem/router azzurro)
IP PUBBLICO: Statico

A me hanno dato due firewall zyxel: lo zywall 5 e lo ZyWALL 2 Plus.
Ho configurato i due firewall come descritto nelle guide che sono nelle confezioni, mettendo l'indirizzo del gateway remoto, il tipo di chiave ipsec, eccetera.

La vpn non si è mai creata fra sede e filiale e non capisco dove sbaglio, quindi vi voglio fare qualche domanda:
- E' possibile che la vpn non si connetta perchè ho configurato i due firewall come bridge e non come router? (esempio: il router è 192.168.0.1 e il firewall è il 192.168.0.2)
- Ipsec usa una porta specifica che magari devo nattare dal router?
- Quando metto gli indirizzi delle subnet (in questo caso dal lato della sede), è corretto utilizzare:

SEDE
192.168.0.0
255.255.255.0

FILIALE
10.0.0.0
255.0.0.0



So che fra di voi ci sono molti esperti, spero che qualcuno riesca a darmi un aiuto perchè sinceramente devo fare questa cosa sennò mi tagliano le gambe!

Grazie in anticipo a tutti coloro che mi daranno una risposta (non si sa mai che ci incontriamo e vi pago da bere!)

[Rottweiler]

devi rivedere un po' di cose.

comunque sarebbe meglio che tu assegnassi alle wan dei due firewall direttamente gli ip pubblici (se hai un solo IP pubblico allora imposta i router come bridge).

se vuoi fare nat-traversal, allora dovrai girare almeno queste porte:

5000 udp per IKE e 500 udp per Ipsec (però verifica nella documentazione zyxel).

I pc devono navigare dietro al firewall (subnet diversa nei due rami, ma il wizard dello zyxel non ti permetterebbe di sbagliare).

(verifica i log sui firewall.. se non va è possibile che tu debba controllare le acl sul router cisco per permettere per esempio il traffico "gre")

ps: la subnet della "filiale" mi sa di sbagliatissima usa al massimo 255.255.255.0

[smurfxx]

Quote:

Originariamente inviato da Rottweiler

devi rivedere un po' di cose.

comunque sarebbe meglio che tu assegnassi alle wan dei due firewall direttamente gli ip pubblici (se hai un solo IP pubblico allora imposta i router come bridge).

Ho capito, così praticamente all'ip pubblico risponde direttamente il firewall, giusto? Ma se non fosse possibile impostare i router cisco e alice come bridge? Basterebbe un nat di tutte le porte verso il firewall?

Quote:

se vuoi fare nat-traversal, allora dovrai girare almeno queste porte:

5000 udp per IKE e 500 udp per Ipsec (però verifica nella documentazione zyxel).

Che vantaggi mi darebbe il nat-traversal?

In ogni caso grazie delle risposte!

[Rottweiler]

Sì se puoi assegnare al firewall direttamente l'ip pubblico è meglio.

Se giri tutte le porte o solo quelle strettamente necessarie fai comunque nat con il router e quindi devi impostare nei parametri della vpn il nat-traversal.
Il router che fa nat modifica gli headers dei pacchetti, il nat traversal serve al dispositivo vpn per allertarlo dei pacchetti "malformed" (potrebbe anche funzionare se non lo attivi, ma è meglio metterlo se passi un nat).
In ogni caso non da nessun vantaggio, anzi.

[Rottweiler]

Comunque, se puoi girare le porte vuol dire che puoi accedere alla configurazione dei dispositivi. Non so il "coso" di alice ma se è anche modem non penso ci siano problemi, poi non ho mai visto un router che non potesse essere configurato come bridge. Vai tranquillo con questa soluzione.

[smurfxx]

Purtroppo sul router alice posso solo modificare l'ip, però posso facilmente nattare tutte le porte al firewall.

In questo caso posso tenere il firewall come bridge o devo per forza settarlo come router? Te lo chiedo perchè devo lavorarci in remoto e cambiare ip vuol dire perdere il collegamento con i pc dai quali posso gestire la cosa.

In ogni caso Rottweiler avanzi da bere, se stai dalle parti di ferrara, rovigo o padova avanzi un grosso favore da me!

[Rottweiler]

puoi fare così:

la wan del firewall deve essere nella subnet lan del router (come i computer adesso, abiliti il firewall per essere amministrabile anche dalla wan). Giri tutte le porte all'ip del firewall.
Configuri due lan divrese dietro i due firewall.
Crei la vpn.

le reti che si vedranno saranno le due lan dietro al firewall, non le due reti che hai adesso dietro i routers.
sposti i computer dopo che la vpn funziona.

[smurfxx]

Allora, sono riuscito grazie ai consigli di Rottweiler a creare il tunnel vpn, infatti i due firewall vedono come attiva la connessione che ho creato. Fin qui nessun problema... se non ci fossero le network policies da configurare.

Correggetemi se sbaglio: una volta creato il tunnel fra i due router non dovrei essere in grado di vedere/pingare i pc dell'altra rete?

Ricordo che da un lato i pc hanno l'ip 192.168.1.X e dall'altra l'ip 192.168.0.X

Ho studiato un po' i firewall zyxel e ho notato una funzione di address mapping, questa è la sua descrizione:

Quote:

If both IPSec routers support virtual address mapping, you can access devices on both networks, even if their IP addresses overlap. You map the ZyWALL's local network addresses to virtual IP addresses and map the remote IPSec router's local IP addresses to other (non-overlapping) virtual IP addresses.

Take Overlapping Local And Remote Network IP Addresses as an example of overlapping local and remote IP addresses. You can set up virtual address mapping on both IPSec routers to allow computers on network X to access network X and network Y computers with the same IP address.

* You set ZyWALL A to change the source IP addresses of packets from local network X (192.168.1.2 to 192.168.1.4) to virtual IP addresses 10.0.0.2 to 10.0.0.4 before sending them through the VPN tunnel.
* You set ZyWALL B to change the source IP addresses of packets from the remote network Y (192.168.1.2 to 192.168.1.27) to virtual IP addresses 172.21.2.2 to 172.21.2.27 before sending them through the VPN tunnel.
* On ZyWALL A, you specify 172.21.2.2 to 172.21.2.27 as the remote network. On ZyWALL B, you specify 10.0.0.2 to 10.0.0.4 as the remote network.

Computers on network X use IP addresses 192.168.1.2 to 192.168.1.4 to access local network devices and IP addresses 172.21.2.2 to 172.21.2.27 to access the remote network devices.

Computers on network Y use IP addresses 192.168.1.2 to 192.168.1.27 to access local network devices and IP addresses 10.0.0.2 to 10.0.0.4 to access the remote network devices.

Mi può tornare utile questa modalità? Purtroppo questi zyxel hanno tante opzioni non molto chiare,mi ricordo tempo fa di aver fatto una piccola VPN con IPCop e mi trovavo decisamente meglio...

Dove sbaglio? Grazie infinite per l'ennesima volta!

[smurfxx]

Up! Nessuno mi sa aiutare?

[Rottweiler]

le reti che si vedono sono quelle locali (lan) dei firewall.

I computers devono essere messi dietro quelle reti (devono avere il firewall come gateway oppure una route che passa da lui per l'altra rete)
Quello che hai postato è solo il caso in cui devi fare una vpn tra due reti con lo stesso indirizzo.

[smurfxx]

I pc sono già dietro ai firewall e usano quello come gateway... a me sembra strana sta cosa, secondo me c'è anche qualcosa che non va sui firewall dalla loro nascita...

[smurfxx]

Sono riuscito a creare il tunnel, era un problema di certificati da scambiare tra i due firewall, magari può tornare utile anche ad altri.

Ma i miei problemi non sono finiti qui, il tunnel è stabile e ben configurato ma... non riesco a pingare o accedere ai pc remoti... ho fatto attenzione al nat traversal e ad altre cose ma niente da fare.
Che inferno questi zyxel!

Qualcuno ha altre idee che potrebbero aiutarmi?