Vpn : verso Lan diversa da quella Aziendale - Pagina 2

xxxbest · 30-08-2016, 08:09

Quote:

Originariamente inviato da stepvr

La VPN serve esattamente a quello che chiede il fornitore; il traffico della rete 172.16.38.x viaggia già e solo attraverso il tunnel. Infatti col netscan li vede.
Non serve alcuna route statica ed e' il motivo per cui è stato inserito l'alias sullo Zywall 172.16.38.1.

A seguito di questa informazione, ho un dubbio che non abbia inserito male L'alias , io l'ho impostato cosi':
IP ADDRESS: 172.16.38.0
Subnet mask: 255.255.255.0
RIP Direction= NONE
RIP VERSION= RIP 1

va bene, o devo solo farlo sul singolo indirizzo 172.16.38.1 ??

zeMMeMMez · 30-08-2016, 10:20

...

xxxbest · 30-08-2016, 13:50

grazie zeMMeMMez, come dovrebbe essere quindi?

zeMMeMMez · 30-08-2016, 14:19

...

xxxbest · 30-08-2016, 16:34

Ciao, Premettendo che nel mio modello (vecchio Zywall 35) le porte LAN non sono impostabili separatamente, l'unica cosa per gestire 2 sottoreti diverse, come consigliato da Stepvr, è apparentemente tramite gli IP ALIAS che ho impostato come indicato, forse erroneamente?
Dato che il Tunnel VPN è attivo e funzionante, non capisco cosa dovrei fare in pratica per attuare la tua soluzione (quella con LAN SINGOLA quindi)..

grazie per l'aiuto

zeMMeMMez · 30-08-2016, 16:57

...

stepvr · 30-08-2016, 19:41

Corretto il suggerimento di zeMMeMMez. L'IP alias deve essere 172.16.38.1 e la mask deve essere identica a quella impostata sugli apparati PLC.
Ora capisco perché non si i instradava il traffico, lo davo per già impostato dai post precedenti.

xxxbest · 31-08-2016, 08:11

Grazie mille, adesso in effetti vedo regolarmente il router, per cui immagino che tutto funzioni (adesso contatto il fornitore e lo faccio verificare)..
Il problemino è che ora lui vede tutta la mia rete dell'ufficio, cosa che voglio evitare.
Che tipo di regola è corretto impostare sul firewall, una LAN to LAN con source tutta la subnet 172.16.38.xxx e destinazione 192.168.x.xxx (la mia lan uffici) dove seleziono tutte le porte e metto REJECT ?
O in altro modo??
Grazie, saluti.

zeMMeMMez · 31-08-2016, 08:47

...

xxxbest · 01-09-2016, 16:01

Ciao, il fornitore è riuscito a fare la verifica , ma purtroppo non funziona ancora.
mi sono trovato sui log del firewall questo alert:

No. Time Source IP Destination IP Note
1|2016-09-01 16:53:42 |192.168.5.190 |172.16.38.121 |ATTACK
ip spoofing - WAN ICMP (V to L, Echo)

End of Alert

Immagino sia un alert BLOCCANTE, anche se sono i Range che ho impostato nelle policy della VPN.
Come posso abilitare questo , mediante regole del firewall??
"V to L , echo", significa VPN to LAN??

stepvr · 02-09-2016, 07:39

Scusa, personalmente ho sempre fatto riferimento alla tipologia di VPN HOST to LAN. Francamente non riesco a capire perché stai creando col tuo fornitore di apparati PLC una tipologia di VPN LAN to LAN che si usa per connettere filiali o uffici remoti dell'azienda. Così facendo metti a repenaglio la sicurezza dela tua rete.

Se si tratta solo di assitenza remota è sufficiente costruire una VPN HOST to LAN; per fare questo basta che il fornitore configuri un qualsiasi PC per costruire la VPN e a quel punto hai risolto tutti i tuoi problemi senza dover diventare matto per bloccare traffico indesiderato.

xxxbest · 02-09-2016, 07:58

Ok,concordo con il tuo consigli e su questo penso di poter intervenire e vincolare il fornitore a questo tipo di accesso PC to LAN, in tal caso, come devo cambiare la mia configurazione attuale della VPN ?
Grazie, saluti.

stepvr · 02-09-2016, 08:28

Non credo che tu debba modificare qualcosa.
Quando il tuo fornitore aprirà la VPN, il suo PC prenderà un IP della rete 172.16.38.x e si troverà direttamente in rete con i suoi apparati; non potrà generare traffico verso la tua rete aziendale (192.168.0.x) e non ci sarà neppure traffico della rete del fornitore (192.168.5.x). In ogni caso qualche regola di protezione sul firewall la metterei in base ai log di sicurezza dello Zywall che è meglio tener attivi fin quando non sei sicuro che tutto lavori a dovere.

xxxbest · 02-09-2016, 08:33

L'accesso alla mia rete è iniziato dopo l'utilizzo dell'IP ALIAS.
E ora le policy VPN sono configurate come di seguito:

Remote LAN: 192.168.5.xxx subnet:255.255.255.0
Local Lan: range IP 172.16.38.20 - 172.16.38.200

il gateway suoi loro apparati è sempre il 172.16.38.1, che è l'indirizzo IP ALIAS che ho impostato sul mio zyxell.
Devo dire al fornitore che deve cambiare qualche sua configurazione??

stepvr · 02-09-2016, 08:57

Quote:

Originariamente inviato da xxxbest

Remote LAN: 192.168.5.xxx subnet:255.255.255.0

Vado a memoria che è una vita che non uso gli Zywall:
Remote LAN: subnet address - 0.0.0.0 subnet:0.0.0.0

30-08-2016, 10:20	#22
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	... Ultima modifica di zeMMeMMez : 02-11-2016 alle 10:19.

30-08-2016, 14:19	#24
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	... Ultima modifica di zeMMeMMez : 02-11-2016 alle 10:19.

30-08-2016, 16:57	#26
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	... Ultima modifica di zeMMeMMez : 02-11-2016 alle 10:19.

30-08-2016, 19:41	#27
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Corretto il suggerimento di zeMMeMMez. L'IP alias deve essere 172.16.38.1 e la mask deve essere identica a quella impostata sugli apparati PLC. Ora capisco perché non si i instradava il traffico, lo davo per già impostato dai post precedenti. Ultima modifica di stepvr : 30-08-2016 alle 20:04.

31-08-2016, 08:47	#29
zeMMeMMez Bannato Iscritto dal: Aug 2016 Messaggi: 871	... Ultima modifica di zeMMeMMez : 02-11-2016 alle 10:19.

30-08-2016, 13:50	#23
xxxbest Member Iscritto dal: May 2006 Messaggi: 90	grazie zeMMeMMez, come dovrebbe essere quindi?

30-08-2016, 16:34	#25
xxxbest Member Iscritto dal: May 2006 Messaggi: 90	Ciao, Premettendo che nel mio modello (vecchio Zywall 35) le porte LAN non sono impostabili separatamente, l'unica cosa per gestire 2 sottoreti diverse, come consigliato da Stepvr, è apparentemente tramite gli IP ALIAS che ho impostato come indicato, forse erroneamente? Dato che il Tunnel VPN è attivo e funzionante, non capisco cosa dovrei fare in pratica per attuare la tua soluzione (quella con LAN SINGOLA quindi).. grazie per l'aiuto

31-08-2016, 08:11	#28
xxxbest Member Iscritto dal: May 2006 Messaggi: 90	Grazie mille, adesso in effetti vedo regolarmente il router, per cui immagino che tutto funzioni (adesso contatto il fornitore e lo faccio verificare).. Il problemino è che ora lui vede tutta la mia rete dell'ufficio, cosa che voglio evitare. Che tipo di regola è corretto impostare sul firewall, una LAN to LAN con source tutta la subnet 172.16.38.xxx e destinazione 192.168.x.xxx (la mia lan uffici) dove seleziono tutte le porte e metto REJECT ? O in altro modo?? Grazie, saluti.

01-09-2016, 16:01	#30
xxxbest Member Iscritto dal: May 2006 Messaggi: 90	Ciao, il fornitore è riuscito a fare la verifica , ma purtroppo non funziona ancora. mi sono trovato sui log del firewall questo alert: No. Time Source IP Destination IP Note 1\|2016-09-01 16:53:42 \|192.168.5.190 \|172.16.38.121 \|ATTACK ip spoofing - WAN ICMP (V to L, Echo) End of Alert Immagino sia un alert BLOCCANTE, anche se sono i Range che ho impostato nelle policy della VPN. Come posso abilitare questo , mediante regole del firewall?? "V to L , echo", significa VPN to LAN??

02-09-2016, 07:39	#31
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Scusa, personalmente ho sempre fatto riferimento alla tipologia di VPN HOST to LAN. Francamente non riesco a capire perché stai creando col tuo fornitore di apparati PLC una tipologia di VPN LAN to LAN che si usa per connettere filiali o uffici remoti dell'azienda. Così facendo metti a repenaglio la sicurezza dela tua rete. Se si tratta solo di assitenza remota è sufficiente costruire una VPN HOST to LAN; per fare questo basta che il fornitore configuri un qualsiasi PC per costruire la VPN e a quel punto hai risolto tutti i tuoi problemi senza dover diventare matto per bloccare traffico indesiderato. Ultima modifica di stepvr : 02-09-2016 alle 07:57.

02-09-2016, 07:58	#32
xxxbest Member Iscritto dal: May 2006 Messaggi: 90	Ok,concordo con il tuo consigli e su questo penso di poter intervenire e vincolare il fornitore a questo tipo di accesso PC to LAN, in tal caso, come devo cambiare la mia configurazione attuale della VPN ? Grazie, saluti.

02-09-2016, 08:28	#33
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Non credo che tu debba modificare qualcosa. Quando il tuo fornitore aprirà la VPN, il suo PC prenderà un IP della rete 172.16.38.x e si troverà direttamente in rete con i suoi apparati; non potrà generare traffico verso la tua rete aziendale (192.168.0.x) e non ci sarà neppure traffico della rete del fornitore (192.168.5.x). In ogni caso qualche regola di protezione sul firewall la metterei in base ai log di sicurezza dello Zywall che è meglio tener attivi fin quando non sei sicuro che tutto lavori a dovere. Ultima modifica di stepvr : 02-09-2016 alle 08:30.

02-09-2016, 08:33	#34
xxxbest Member Iscritto dal: May 2006 Messaggi: 90	L'accesso alla mia rete è iniziato dopo l'utilizzo dell'IP ALIAS. E ora le policy VPN sono configurate come di seguito: Remote LAN: 192.168.5.xxx subnet:255.255.255.0 Local Lan: range IP 172.16.38.20 - 172.16.38.200 il gateway suoi loro apparati è sempre il 172.16.38.1, che è l'indirizzo IP ALIAS che ho impostato sul mio zyxell. Devo dire al fornitore che deve cambiare qualche sua configurazione??

Strumenti
Mostra una versione stampabile Invia questa pagina per email