Cisco client VPN e local lan...

[SoftWd]

Quote:

Originariamente inviato da cisketto

è un impostazione di sicurezza della vpn. cerca "Split tunnelling" come ho un po piu di tempo ti mando un pdf che ti spiega km funziona.

ho cercato in giro varie info e nessun tutorial su come farlo ! cè il CMAK della M$, ma nn capisco ne come impostare il txt ne come settarlo !

Tu ke avevi in mente ? Trovato nulla ?

[V4N3X]

Leggevo che su Win2003 server si può impostare un txt contenente le static routes nella forma:
<add> route ID <mask> x.x.x.x <default metric default if default>
oppure si può utilizzare un file batch per il client vpn nella forma:

route add 10.0.0.0 mask 255.0.0.0 %1
route add 172.16.0.0 mask 255.240.0.0 %1
route add 192.168.0.0 mask 255.255.0.0 %1
dopo aver stabilito quale IP viene assegnato alla vpn.
Stasera guardo meglio; ancora non ho capito bene come funziona la cosa.

[SoftWd]

avevo provato qcosa del genere ma sono un pò niubbo in questo, ti dico i miei dati nel frattempo:

Codice:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : cs103006550172
   Primary Dns Suffix  . . . . . . . : sviluppo.local
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : sviluppo.local

Ethernet adapter LAN Ad-Hoc:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : VIA Rhine II Compatible Fast Ethernet Adapter
   Physical Address. . . . . . . . . : #############
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.12.201
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.12.254
   DHCP Server . . . . . . . . . . . : 192.168.12.254
   DNS Servers . . . . . . . . . . . : 192.168.12.254
                                       192.168.11.5
   Lease Obtained. . . . . . . . . . : martedì 10 ottobre 2006 8.24.51
   Lease Expires . . . . . . . . . . : mercoledì 11 ottobre 2006 8.24.51

Ethernet adapter VPN Consorzio:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Cisco Systems VPN Lan1
   Physical Address. . . . . . . . . : #############
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 10.242.144.9
   Subnet Mask . . . . . . . . . . . : 255.0.0.0
   Default Gateway . . . . . . . . . : 10.242.144.9
   DNS Servers . . . . . . . . . . . : 10.240.1.242
                                       10.242.1.243
   Primary WINS Server . . . . . . . : 10.240.1.242
   Secondary WINS Server . . . . . . : 10.242.1.243

[V4N3X]

Quindi, nel primo caso, dovrebbe venir fuori qualcosa del genere:
<add> ID rete, es. mygateway <mask> 255.255.255.0 <default metric default if default>
<add> Cisco Systems VPN Lan1 <mask> 255.0.0.0 <default metric default if default>
Nel secondo caso, invece:
route add 10.242.144.0 mask 255.0.0.0 %1
route add 192.168.12.0 mask 255.255.255.0 %1
Purtroppo adesso non ho il tempo di approfondire; spero di riuscire stasera. A presto.

[SoftWd]

Appena hai tempo puoi impostarmi tu i route add vari da effettuare please ?

Sono veramente a secco di networking !

[V4N3X]

Allora, vediamo di fare qualche altra prova, se ti va.
Presuppongo che il tuo sistema abbia un regolare cd di installazione, quindi dovresti disporre del CMAK, ovvero Connection Manager Administration Kit.
Se non lo hai ancora installato, apri Pannello di Controllo>Installazione Applicazioni> Installazione componenti di Windows>Componenti>Strumenti di gestione e controllo, fai clic su Dettagli, e seleziona Connection Manager Administration Kit.
Una volta installato, avvia il wizard da Pannello di controllo>Strumenti di amministrazione>Connection Manager Administration Kit.
Dovresti aver già creato il file txt in cui indichi le routes statiche verso cui può essere indirizzato il traffico di rete, nella forma:

add 192.168.12.0 mask 255.255.255.0 default metric default if default

Questo dovrebbe evitare di sostituire la route stabilita dal client VPN, a quella di rete intranet esistente. Avviando il CMAK, dovresti visualizzare la schermata "aggiornamento tabelle di routing", in cui selezionare l'opzione "definisci aggiornamento", quindi, da "sfoglia", seleziona il file in questione.
Proviamo a vedere cosa succede in questo modo.

[SoftWd]

Grazie intanto

Dunque, CMAK cel'ho già installato ma e se faccio un "route add..." da shell non è la stessa cosa ? (Così mi evito di usare CMAK ke nn so manco come si usa )

[V4N3X]

Non credo sia la stessa cosa; in questo modo, qualunque route statica tu aggiunga credo venga comunque sostituita dal client VPN.
Il CMAK dovrebbe essere capace di gestire la cosa dinamicamente (anche perche è esplicitamente inclusa la funzione di split tunneling), distinguendo fra datagram indirizzati alla VPN e normale traffico HTTP.
Il CMAK non è neanche tanto difficile da usare: QUI trovi una guida;
la finestra che ti permette di inserire il file txt è questa . L'immagine che ho trovato è in inglese, ma come vedi non c'è poi molto da studiare.
Considera che anche io, come te, sto scoprendo la cosa pian piano, non essendomi mai capitata prima una problematica simile, ma non dispongo di una VPN su cui fare prove, quindi qui entri in gioco tu.
Diciamo che stiamo scoprendo insieme come risolvere la cosa; purtroppo io non ho a disposizione tutto lo scibile in materia di informatica. Ne so parecchio, ma non tutto: spero di imparare qualcos'altro, da questo thread

[SoftWd]

proprio facile nn direi

mi ci sono perso, inoltre alla fine crea un exe, in connessioni di rete mi crea un ulteriore connessione con un icona strana, vado a doppio-clickarla e mi appare come una connessione a modem !

inserisco user name e password (ma poi l'account di ke cosa devo inserire ???), premo connect, e mi dice ke serve un numero di telefono !!!!!!!!!!

ma ke caspita c'entra forse nn devo selezionare qcosa nel wizard ?

io ho lasciato tutto di default ho solo inserito il txt.

[V4N3X]

Quote:

Originariamente inviato da SoftWd

io ho lasciato tutto di default ho solo inserito il txt.

Infatti. Al momento non ci interessano altre modifiche alla connessione:
la connessione già esiste, e i settaggi sono a posto. Limitati ad inserire il txt e vediamo che succede. Altra cosa: sarebbe meglio che tu usassi delle routes statiche sulla tua intranet, ovvero disabilitare il DHCP sul tuo router, inserire nel router gli indirizzi statici che vuoi nattare (quelli dei pc nella tua rete), ed assegnare staticamente tali indirizzi ad ognuna delle tue macchine, nelle proprietà TCP/IP delle connessioni LAN (tale tecnica è definita come "forzatura delle schede di rete").

[SoftWd]

Quote:

la connessione già esiste, e i settaggi sono a posto.

Spe ma di ke parli ? Prima ti ho spiegato ke il cmak appena finito il wizard mi crea un exe, io lo installo, lui mi crea una connessione col nome ke gli ho dato allo stesso exe, con un icona sul desktop ! Avvio sta connessione ed è come se mi dovessi riconnettere ad una rete chiededomi l'account (SI MA DI KE ??) e un numero di telefono !!!!!!!! (ke poi nn potrei manco inserirlo XKè ME LO Dà DISABILITATO !!!)

Quote:

Limitati ad inserire il txt e vediamo che succede. Altra cosa: sarebbe meglio che tu usassi delle routes statiche sulla tua intranet, ovvero disabilitare il DHCP sul tuo router, inserire nel router gli indirizzi statici che vuoi nattare (quelli dei pc nella tua rete),

Non ho accesso al router, nn sono io l'admin....

Quote:

ed assegnare staticamente tali indirizzi ad ognuna delle tue macchine, nelle proprietà TCP/IP delle connessioni LAN (tale tecnica è definita come "forzatura delle schede di rete").

Si x quello nn c'è problema.

[V4N3X]

Evidentemente è partito il wizard di configurazione automatica, e ha creato una nuova connessione dial-up: dovrebbe essere invece possibile selezionare un profilo di connessione esistente.
Quando parlavo del router, mi riferivo al tuo, quello di casa....non hai accesso di amministratore al tuo router??
Il CMAK deve avere degli snap-in tipo "opzioni", "VPN", "avanzate", su cui operare; non dovrebbe essere necessario creare una nuova connessione.
Quando torno a casa guardo meglio sul mio Win2003 come funziona 'sto wizard.

[V4N3X]

Allora, ho dato un'occhiata, ed effettivamente la cosa è un pò seccante.
Si avvia il wizard, selezioni nuovo profilo, quindi dai un nome al servizio ed al file (es. prova).
Schermata successiva, seleziona prima opzione (non aggiungere ecc ecc),
salta la schermata successiva (unione informazioni) e vai su supporto VPN.
Seleziona Rubrica del profilo, ed inserisci i tuoi dati per la connessione VPN.
Schermata successiva, deseleziona il download automatico degli aggiornamenti rubrica, quindi vai avanti. Inserisci una nuova voce di connessione remota, in cui abiliti condivisione di files e stampanti, e accesso dei client alla rete.
Schermata successiva, Aggiornamento tabella di routing, definisci aggiornamento tramite il file txt. Salta la schermata successiva.
Sei in Operazioni personalizzate: seleziona come tipo di operazione "Pre-Tunnel", quindi non specificare niente altro e vai avanti.
Ti troverai nella schermata "Creazione profilo del servizio": seleziona "Personalizzazione avanzata", quindi avanti. Seleziona nella prima casella
il file "prova.cms", quindi devi modificare le varie sezioni, selezionando i campi opportuni in "nome sezione", es.
Dialup valore=0
Direct =1
Connection Type=1 (per ADSL)
UseSameUserName=0 (se usi un UID e PWD differenti da quelli internet x accedere alla VPN)
AutoReconnect=1
Tunnel =1
TunnelDUN = Tunnel nome del tuo servizio VPN
TunnelAddress = IP del server VPN
InternetConnection=1
Poi, secondo campo, Server&prova:
SecureLocalFiles=0
SecureClientForMSNet=0
SecureFileAndPrint=0
DataEncrypt=0
Custom_Security=1
Questo dovrebbe bastare; per una guida dettagliata a tutte le chiavi e ai valori corrispondenti, puoi leggere
QUESTA pagina di Microsoft technet.
Lo so che può sembrare complicato, ma purtroppo il wizard non l'ho mica fatto io, e poi, se lavorassi su Linux, saresti abituato sicuramente a cose peggiori.
Ti assicuro che rispetto a RH Enterprise, questo è una bazzecola, e comunque, nessuno ha mai detto che usare un pc ad alti livelli fosse una cosa facile: come una nota rivista sostiene, in questo mondo vi sono alcune cose semplici, ed una marea di cose complicate.
P.S. tu avevi creato un profilo Dial-UP. prova ad installare questo profilo, avvii la connessione e dunque il client VPN, e vedi che succede... (speriamo che nn salti tutto in aria)

[SoftWd]

mamma mia

ok dammi solo un pò di tempo ke sono a lavoro
sta roba mi serve a lavoro appunto, siamo in 3 sfigati ke dobbiamo lavorare in remoto con sta ditta ma ci piacerebbe andare in internet con la nostra rete e poter stampare.

nn appena ho 2 minuti provo, intanto ti ringrazio tantissimo per l'aiuto

appena finisco ti faccio un fischio

[V4N3X]

Si, figurati, è anche curiosità mia a riguardo, ma se ben ricordo Hmetal e Cisketto davano l'impressione di saperne parecchio, a riguardo.
A me un aiuto non è che dispiacerebbe, non sono poi così geloso
Se qualcuno è in grado di confermare/correggere quanto sto scrivendo, perche non si propone??
Se poi avesse direttamente la soluzione sarebbe grandioso....

[SoftWd]

Ok provato tutto, mi chiede sempre username e password ok, ma il brutto è ke cerca di connettersi alla vpn, c'è un problema:

noi qua abbiamo un loro client ke si aggancia un modo strano via web alla vpn cisco, nn c'è un modo per usare la connessione vpn già presente ?

[V4N3X]

Strano che ti chieda UID e PWD; le avevamo già settate in partenza.
La connessione automatica può essere disabilitata operando sulle chiavi: non ricordo a memoria i valori, ma tu puoi andare a vedere in quella pagina che ti ho postato, sennò dovrei rispulciare tutto stasera. Dovrebbero esserci anche le chiavi per specificare ulteriormente UID e PWD sia per internet (che a te non interessa perche sei sotto router, e sono gia impostate) che per VPN.
Per eseguire il client che hai in dotazione, puoi inserirlo nelle operazioni Pre-Tunnel come applicazione da eseguire, nella schermata "Operazioni Personalizzate". Puoi modificare ogni settaggio semplicemente selezionando dal wizard il profilo che hai creato, e rifacendo i vari passaggi. Il wizard edita il profilo e lo sovrascrive, evitando di dover rifare tutto da capo.

[SoftWd]

IL client in dotazione è uno skifo:

si parte collegandosi ad un sito, una cosa in java via web si connette ad un sito, poi mi dice a ke numero di telefono mi devo collegare, una volta ricevuto lo squillo, mi chiede la mia pass, solo pass, senza username.

Successivamente questo client web, java, mi connette da se alla vpn.


Poi nn capisco xkè io devo inserire un account e poi di cosa ? Io devo solo splittare i pakketti -_-

[[MI]Dany_80]

Ciao!
Qualcuno e' per caso riuscito a risolvere questo problema?

La soluzione piu semplice sarebbe avere una macchina linux, con 1 scheda di rete, si installa "vpnc", si abilita ip forwarding, si imposta il routing, e lo si usa come gateway tra la rete locale e la VPN.
...In un ufficio dovresti farla una cosa così.. non hai una macchina che usi come firewall? Se è linux potresti usare quella...

Ma al momento uso windows vista. Il client cisco vpn blocca le connessioni alla LAN, io devo effettuare 2 connessioni VPN, una dentro l'altra.. Sono riuscito a far cio' con vmware, winxp virtuale e' nella seconda vpn,
ma,
il mio client vista è fuori dal mondo, in quanto collegato alla prima VPN.

Altra soluzione.. nessuno conosce un client cisco alternativo che supporti magari 2 connessioni contemporaneamente? E che non blocchi la rete con un layer 1 virtuale?