Vpn : verso Lan diversa da quella Aziendale

[xxxbest]

Buongiorno, ho questo problema, devo predisporre una VPN verso delle apparecchiature aziendali (PLC, inverter, ecc) che sono installati su una propria rete con indirizzi IP 172.16.38.xxx, diversi da quelli della mia rete LAN (192.168.0.xxx).
Premettendo che ho una connettività unica e un solo firewall Zywall Zyxell 35 (ip 192.168.0.254 subnet 255.255.255.0), ho provato a configurare la VPN ma quando provo ad attivarla da firewall mi da sempre errore.
Penso che il problema sia nel fatto che come local Network metto 172.16.38.xxx, che non è la mia rete sulla quale è configurato il firewall..., come si fa a fare in modo che solo tramite tale VPN siano raggiungibili gli indirizzi 172.16.38.xxx, senza poter cambiare le impostazioni di questi apparati di produzione, ma solo agendo sul mio firewall??
La VPN che ho creato è cosi' impostata:

Local network: 172.16.38.1 subnet 255.255.255.0
Remote network (ip privati del fornitore): 192.168.20.1 subnet 255.255.255.0
con i relativi indirizzi IP statici di connessione impostati nel gateway policy.

In attesa dei vs. preziosi consigli, vi ringrazio, come sempre.

[zeMMeMMez]

...

[xxxbest]

Grazie per la risposta , prima di tutto.
Chiedo scusa se non sono stato chiaro, provo a semplificare la situazione attuale:

-2 Lan in azienda collegate ai medesimi switch, senza gateway che le fa comunicare tra loro :
Lan1: 192.168.0.xxx subnet 255.255.255.0
Lan2: 172.16.38.xxx subnet 255.255.255.0

Devo creare una VPN in modo che il fornitore possa accedere alla rete Lan2, relativa ai suoi apparecchi.
Come devo configurare il Firewall Zyxell?
Grazie mille.

[zeMMeMMez]

...

[chiccol83]

non conosco il firewall zyxel..

ma da esterno se non li hai nattati o su IP pubblici nn entrerai mai da esterno..

se invece vuoi che entri devi fare una vpn tra te e il fornitore dando accesso solo alla rete 172...

non capisco quale sia il tuo scopo di fare la vpn tra le 2 reti

Inviato dal mio SM-G920F utilizzando Tapatalk

[zeMMeMMez]

...

[chiccol83]

Quote:

Originariamente inviato da zeMMeMMez

credo sia questa la richiesta, ed a meno di non voler fare una regola per ogni singolo MAC address (direi a livello di mezzo suicidio) la strada meno devastante mi paiono due switch separati

si ma che apparato ha il fornitore poi,?

ha qualcosa x fare una vpn?

altrimenti metti un apparato su quella rete come getway di tutti gli apparati sotto e su di lui fai vpn nattando quelle porte dall IP esterno..

altra alternativa.. nn riesci ad avere altri io pubblici?

Inviato dal mio SM-G920F utilizzando Tapatalk

[xxxbest]

Buongiorno e grazie a tutti per le risposte, dalle quali provo a darvi qualche ulteriore indicazione:

- Il fornitore mi dice che puo' accedere alla VPN con qualsiasi client ed è sua espressa richiesta questo metodo di collegamento.
- confermo che a me non interessa che le reti 192 e 172 si vedano
- no problem a isolare la rete 172 su switch distinto, ma non so come gestire 2 LAN sullo Zywall 35, se è fattibile.
- IP statici: ne avrei un'altro relativo alla seconda connettività , ora usata come backup.

Spero che queste info vi aiutano a darmi la giusta strada da seguire.
grazie ancora.

[stepvr]

Prova a vedere se sullo Zyxell è possibile configurare un IP alias (172.16.38.x) lato LAN. In questo modo crei il gateway per la seconda rete; se l'end point della VPN è sullo Zyxell, dovrebbe funzionarti tutto.

[xxxbest]

Si Stepvr, c'è la gestione degli IP ALIAS, quindi imposto come IP alias:

172.16.38.1 subnet 255.255.255.0

Questo non inficia niente sulle impostazioni del firewall esistenti, NAT, VPN (che sono solo relative a indirizzi della rete 192 con subnet 255.255.255.0), vero?
Premesso questo, è comunque necessario che isoli a livello di switch la rete 172 fisica o non importa?
Come devo impostare la VPN a questo punto?
grazie mille.

[stepvr]

Una volta impostato l'IP alias, dovresti poter configurare sullo Zyxell più connessioni VPN collegandole a user specifici. La prima connessione (user1) riservata alla rete 192.168.0.x assegnando ai client VPN IP sulla stessa rete; la seconda connesione (user2) riservata al fornitore degli apparati PLC dove assegni al client VPN un indirizzo IP sulla rete 172.16.36.x.
Le regole sul firewall rimangono indipendenti e comunque se l'end point della VPN è lo Zyxell non dovresti aver bisogno di regole particolari essendo implicite nella configurazione della VPN.

[xxxbest]

Ciao, vi aggiorno sugli sviluppi: il TUNNEL ora è operativo tra la rete del fornitore e i loro apparati (quindi le gateway VPN Policy devono essere corrette, o sbaglio?):
, ma lui non riesce ad accedere ai suoi apparati (pingando la rete non vede i suoi IP), mentre io vedo regolarmente la sua LAN dell'ufficio.
Da cosa puo' dipendere???
Non abbiamo nessuno dei due fatto alcuna impostazione o regola sui rispettivi firewall.
grazie.

[stepvr]

Sicuro dell'IP che viene assegnato al client VPN del fornitore? Dovrebbe trovarsi sulla rete 172.16.36.x senza conflitti.
Sicuro del network mask? Hai assegnato 255.255.255.0 ma essendo una rete 172.16.x.x chiamerebbe un network mask uguale a 255.240.0.0. Dipende da come sono impostati i parametri sugli apparati del fornitore.
Sicuro che il fornitore sia su una rete diversa da 172.16.36.x?

[xxxbest]

1) come faccio a far verificare con quale IP si presenta il client VPN ?? devo chiedere a lui?

2) la sua rete di apparati è 172.16.38.xxx subnet 255.255.255.0 ed è la stessa che ho configurato nelle policy VPN. Il suo gateway è il 172.16.38.1.

3) il fornitore (se ti è su riferisci alla rete LAN dell'ufficio da cui si collega) è 192.168.5.xxx subnet 255.255.255.0 (che ho cosi' configurato nello VPN GATEWAY POLICY, e visto che il tunnel si crea, dovrebbe essere ok, o sbaglio??

P.s. Evidenzio un dettaglio: la LAN del mio ufficio, quindi il mio gateway (che è poi il firewall stesso) sta su una rete 192.168.0.xxx, non so se questo ti è di aiuto.
P.s. l'IP alias sia che sia attivato che non, non cambia nulla.
Grazie mille per tutto!

[stepvr]

L'IP del client lo decidi tu nella configurazione della VPN: un singolo IP se prevedi che non più di un client si può collegare all'end point oppure un pool di IP se i client sono più di uno. Se hai impostato correttamente l'IP alias per la rete 172.16.38.x, la configurazione della VPN sull'end point dovrebbe permetterti di scegliere su quale delle tue reti permettere la connessione: 192.168.0.x o 172.16.38.x.
Nel tuo caso la corretta scelta per il fornitore degli apparati PLC è la rete 172.16.38.x, quindi dovresti assegnare al suo client VPN un IP della rete 172.16.38.x; questo ti permette di non dover impostare magheggi strani tra regole di firewall o di routing.
Concettualmente ricorda che un client VPN entra a far parte della rete remota a cui si collega senza bisogno di altro e non servono policies della rete fisica del fornitore 192.168.5.x. L'unico requisito veramente indispensabile è che il network del client e quello remoto non coincidano.

[xxxbest]

Questo è quello che ho fatto fin dalla prima configurazione, gli ho abilitato un RANGE di indirizzi della sua rete 172.16.38.x come LOCAL LAN e come REMOTE LAN ho messo tutta la sua subnet 192.168.5.xxx.
IL Tunnel viene stabilito correttamente , ma lui non riesce a vedere gli apparati della sua LAN, mentre io vedo correttamente gli IP della sua rete 192.168.5.xxx .
Dove sto sbagliando??

[zeMMeMMez]

...

[xxxbest]

Aggiornamento, il fornitore ora vede tramite VPN tutti i suoi apparati sulla LAN (con un netscan), ma non puo' accedervi direttamente via software.
Ritiene che il problema è probabilmente relativo al GATEWAY impostato di default sui suoi apparati (172.16.38.1), pertanto mi chiederebbe di fare in modo che il suo getaway esca tramite la VPN ... (cosi' si evita di sistemarlo sui suoi apparati.. )
Cosa devo configurare???
grazie mille.

[zeMMeMMez]

...

[stepvr]

Quote:

Originariamente inviato da xxxbest

Aggiornamento, il fornitore ora vede tramite VPN tutti i suoi apparati sulla LAN (con un netscan), ma non puo' accedervi direttamente via software.
Ritiene che il problema è probabilmente relativo al GATEWAY impostato di default sui suoi apparati (172.16.38.1), pertanto mi chiederebbe di fare in modo che il suo getaway esca tramite la VPN ... (cosi' si evita di sistemarlo sui suoi apparati.. )
Cosa devo configurare???
grazie mille.

La VPN serve esattamente a quello che chiede il fornitore; il traffico della rete 172.16.38.x viaggia già e solo attraverso il tunnel. Infatti col netscan li vede.
Non serve alcuna route statica ed e' il motivo per cui è stato inserito l'alias sullo Zywall 172.16.38.1.

1) se c'e' la possibilità, esegui un ping dallo Zywall verso la rete 172.16.38.x; deve risponderti
2) essendo lo Zywall più complesso degli altri, controlla che sul firewall non ci sia da inserire una regole di apertura di tutte le porte UDP e TCP (1-65535) per la rete 172.16.38.x; non deve essere fatto alcun NAT
3) la regola della rete remota 192.168.5.x va tolta; nessun traffico può arrivare sulla VPN da quella rete; da remoto può arrivare solo traffico per la 172.16.38.x e, per tua sicurezza, tutto il resto non deve passare.