Consiglio Firewall VPN IpSec per collegare client a distanza in dominio Windows 2008

[freddie24]

Ciao a tutti,

- sto gestendo un ufficio situato a Napoli con Server Windows 2008 R2 su cui gira un gestionale con database.

Server e Client di questo ufficio sono dietro Firewall Smoothwall Linux.

- Poi c'è un altro ufficio situato a Roma che è collegato tramite VPN IpSec con cui il client si collega al server di Napoli.

Nelle impostazioni del firewall c'è una regola VPN IpSec che permetta all'ip pubblico di poter entrare nel dominio del Server di Napoli in modo che possa utilizzare i software in rete.

-------------------------------------------------

Il firewall è abbastanza vecchiotto e vorremmo sostituirlo con qualcosa di più moderno.

Avrei pensato a questo :

ZyXel Firewall USG 100 Plus
( http://www.zyxel.it/Prodotti/Scheda/ZYXUSG-100P-BUN )

--------------------------------------------------

Vorrei fare in modo che oltre ai client con ip pubblico statico, possano connettersi anche client con Ip Dinamico (portatili che si spostano per lavoro).

Da quanto ho visto questo firewall ZyXel è dotato di un software che si installa sui client che crea automaticamente una connessione VPN.

qui c'è il video:

http://www.youtube.com/watch?v=xnTUDgZgGn0

--------------------------------------------------

Tutto ciò è possibile farlo senza toccare nessuna impostazione dei ruoli e della rete di Windows 2008 ???

Si fa tutto tramite firewall e installando il software ZyXel sui client???

Grazie!

[stex21]

il prodotto che hai scelto va benissimo

come dicevo ieri ad un altro utente questo con licenza plus di da oltre alle funzionalità firewall base anche il servizio content filtering per un anno e altri servizi di sicurezza aggiuntivi.

I client per i portatili sono molto facili da installare e configurare, pero attenzione perché se non ricordo male hanno bisogno di una licenza a parte aggiuntiva. Non ricordo se qualche licenza è già inserita nel pacchetto base

sulla rete interna di Napoli non devi cambiare niente, devi solo ricreare il tunnel VPN con Roma in modo che si possano collegare i loro client

Nell'ufficio di Roma che firewall c'è?


EDIT - ho controllato la scheda del prodotto, sono incluse due licenze di VPN SSL, ovvero una modalità che ti permette di creare la VPN via browserweb senza installare nessun client (ho provato una volta e non è difficile). Probabilmente a questo punto i client VPN non necessitano più di licenza come una volta

[freddie24]

A Roma c'è un'altro Firewall Smoothwall.

mica devo comprare un altro firewall anche a Roma ???

Attualmente il mio Firewall mi permette di far collegare solo client con IP PUBBLICI STATICI.

Io ho bisogno di un prodotto che faccia installare un software sui portatili, in modo da farli lavorare al gestionale anche fuori ufficio e con IP PUBBLICO DINAMICO .

Ma le licenze software VPN ZyXel si devono rinnovare ogni anno ??????

[stex21]

Quote:

Originariamente inviato da freddie24

A Roma c'è un'altro Firewall Smoothwall.

mica devo comprare un altro firewall anche a Roma ???

Se usa un metodo di crepitazione standard non c'è bisogno.
Conviene comunque che prima dai un occhio su come è fatta la VPN, in modo da capire se usa degli standard che lo Zyxel supporta

Quote:

Attualmente il mio Firewall mi permette di far collegare solo client con IP PUBBLICI STATICI.

Io ho bisogno di un prodotto che faccia installare un software sui portatili, in modo da farli lavorare al gestionale anche fuori ufficio e con IP PUBBLICO DINAMICO .

Ma le licenze software VPN ZyXel si devono rinnovare ogni anno ??????

come ho scritto nell'edit a questo punto credo che solo le VPN SSL siano da licenziare, mentre quelle con client non lo siano più (qualche tempo fa lo erano)

I firewall (tutte le marche) da qualche anno a questa parte ti permettono di creare sia tunnel statici (IPsec, L2TP, etc) sia tunnel dinamici con client VPN o SSL

[freddie24]

Quote:

Originariamente inviato da stex21

EDIT - ho controllato la scheda del prodotto, sono incluse due licenze di VPN SSL, ovvero una modalità che ti permette di creare la VPN via browserweb senza installare nessun client (ho provato una volta e non è difficile). Probabilmente a questo punto i client VPN non necessitano più di licenza come una volta

Cosa significa una VPN tramite Browser???

dal firewall devo nattare l'indirizzo IP Pubblico ?

una volta collegati via browser cosa accade?

[stex21]

Quote:

Originariamente inviato da freddie24

Cosa significa una VPN tramite Browser???

dal firewall devo nattare l'indirizzo IP Pubblico ?

una volta collegati via browser cosa accade?

in pratica, invece che installare un programma client, apri una pagine internet, ti colleghi all'indirizzo ip pubblico e inserisci utente e password, e tac la van è creata (detto in parole povere)

non devi fare nessun nat, è come se andassi su un qualsiasi sito e facessi la login, solo che in questo caso ti connette alla rete interna

[freddie24]

grazie 1000 per le info...

[freddie24]

Volevo togliermi gli ultimi dubbi.

Vi posto la configurazione di rete del Server Windows 2008:

Ha 2 schede di rete fisiche , ma nel centro reti e condivisione ne compaiono 3 attive:

----------SCHEDA 1----------

INDIRIZZO IP : 192.168.30.164
SUBNET MASK : 255.255.255.0
GATEWAY PREDEFINITO : 192.168.30.1

SERVER DNS PREFERITO : 192.168.30.5
SERVER DNS ALTERNATIVO : 192.168.30.1 (indirizzo del firewall)

=================================

----------SCHEDA 2----------

INDIRIZZO IP : 192.168.30.5
SUBNET MASK : 255.255.255.0
GATEWAY PREDEFINITO : 192.168.30.1

SERVER DNS PREFERITO : 192.168.30.5
SERVER DNS ALTERNATIVO : 89.97.140.140

=================================

----------SCHEDA 3----------

TUTTO AUTOMATICO


=================================

Ora non capisco una cosa ...

perchè il server utilizza 2 schede di rete fisiche? e perchè in centro reti e condivisione ne compaiono 3?

Il server lo utilizzano solo per Exchange e per il Gestionale.

=================================

[stex21]

prima di tutto controlla bene quanti cavi di rete entrano nel pc, non si sa mai.
Sopratutto fai attenzione se uno dei cavi di rete entra in una porta di management (nei serv hp si chiama ILO), ovvero una porta di rete che server per gestire il server da remoto nel caso abbiamo problemi o per effettuare normale manutenzione

la terza scheda non ho idea di cosa possa essere

se vai in pannello di controllo o direttamente nel centro connessioni di rete che info ti da sulla scheda in questione? tipologia?modello?


un altra cosa che ho notato è che c'è il firewall come indirizzo DNS su una delle schede; mi sembra strana la cosa perché di solito i firewall non hanno compito di risoluzione dei nomi

[freddie24]

Per una migliore comprensione Server / Firewall vi posto delle screenshot :




Ruoli Server installati





Centro reti
















Impostazioni Principali Firewall













































Spero riusciate almeno voi a darmi una panoramica della situazione

[stex21]

prima cosa bisogna capire bene sto discorso delle schede di rete
vedendo i print screen sicuramente sono due schede fisiche e una virtuale.

Quindi dal case del server devono uscire per forza due cavi di rete.
Prima cosa controlla se sono veramente due le schede e dove vanno a finire entrambi i cavi (teoricamente nelle stesso switch a giudicare dall'indirizzamento IP)

Poi da prompt di dos prova a fare un ipconfig perché voglio capire che indirizzo ha la scheda virtuale per capire a cosa serve

[freddie24]

Quote:

Originariamente inviato da stex21

prima cosa bisogna capire bene sto discorso delle schede di rete
vedendo i print screen sicuramente sono due schede fisiche e una virtuale.

Quindi dal case del server devono uscire per forza due cavi di rete.
Prima cosa controlla se sono veramente due le schede e dove vanno a finire entrambi i cavi (teoricamente nelle stesso switch a giudicare dall'indirizzamento IP)

Poi da prompt di dos prova a fare un ipconfig perché voglio capire che indirizzo ha la scheda virtuale per capire a cosa serve

I 2 cavi di rete vanno entrambi nello switch ...

Ecco lo screenshot di ipconfig:

-------------------------------------

Microsoft Windows [Versione 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tutti i diritti riservati.

C:\Users\Administrator>ipconfig

Configurazione IP di Windows


Scheda Ethernet Connessione alla rete locale (LAN) 8:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Ethernet Connessione alla rete locale (LAN) 7:

Suffisso DNS specifico per connessione:
Indirizzo IPv4. . . . . . . . . . . . : 192.168.30.164
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.30.1

Scheda Ethernet Connessione alla rete locale (LAN) 4:

Suffisso DNS specifico per connessione:
Indirizzo IPv6 locale rispetto al collegamento . : fe80::d0c0:4b4b:74fb:3c8a%
15
Indirizzo IPv4 configurazione automatica : 169.254.60.138
Subnet mask . . . . . . . . . . . . . : 255.255.0.0
Gateway predefinito . . . . . . . . . :

Scheda Ethernet Connessione alla rete locale (LAN):

Suffisso DNS specifico per connessione:
Indirizzo IPv6 locale rispetto al collegamento . : fe80::19ec:a5fa:c88:ced9%1
1
Indirizzo IPv4. . . . . . . . . . . . : 192.168.30.5
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.30.1

Scheda Tunnel isatap.{8C0705A7-8A72-424E-A939-2D5F37FEAAD8}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Tunnel isatap.{D544656F-32DA-4FFF-A3EA-E2B7D18AE638}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Tunnel isatap.{69BA6327-1050-47BA-B15E-374D252A87AE}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

Scheda Tunnel isatap.{F8B26B94-6768-4D57-81CE-BF4BDC9978F7}:

Stato supporto. . . . . . . . . . . . : Supporto disconnesso
Suffisso DNS specifico per connessione:

C:\Users\Administrator>

[Alfonso78]

Quote:

Originariamente inviato da freddie24

Avrei pensato a questo :

ZyXel Firewall USG 100 Plus
( http://www.zyxel.it/Prodotti/Scheda/ZYXUSG-100P-BUN )

Ragazzi, una curiosità: tale firewall gestisce pure il controllo dei siti web vietati per utilizzo aziendale? Tipo social network e simili?

[stex21]

Quote:

Originariamente inviato da Alfonso78

Ragazzi, una curiosità: tale firewall gestisce pure il controllo dei siti web vietati per utilizzo aziendale? Tipo social network e simili?

si, la licenza plus te lo permette di fare
Il primo anno è incluso, poi devi rinnovarlo annualmente

[stex21]

freddie non riesco a capire perché ci siano due schede di rete con due ip diversi

per il resto il firewall non ha niente di particolare: classico ip pubblico sulla WAN, un normale tunnel ipsec con una preshared key, fa da server DHCP, e c'è il port forwarding di qualche porta.

L'usg 100 va bene

L'unica cosa prova a fare un print screen della pagina IPSECSUBNETS, dove dovrebbero esserci i parametri per la creazione del tunnel VPN (MD5, SHA, etc etc)

[freddie24]

Ragazzi quello che sto pensando io è:

Se io adesso acquisto questo firewall, mica devo comprarne un'altro Zyxel (anche se di minor costo) per l'ufficio di Roma ???

Quello che già c'è può continuare ad andare bene?

O meglio, se eliminassi il firewall di Roma, (utilizzando il firewall del router Fastweb) potrebbe essere una buona soluzione?
Se si come connetto il client di Roma al dominio di Napoli?

Per il software client ZyXel abbiamo capito che c'è bisogno di acquistare le licenze... e per le connessioni VPN SSL ??????

[freddie24]

Quote:

Originariamente inviato da stex21

freddie non riesco a capire perché ci siano due schede di rete con due ip diversi

Se parli del 192.168.30.5 e del 192.168.30.164
... questo è un servizio che ha fatto chi c'era prima di me... anche io non l'ho capito...

Tu cosa mi suggerisci di fare?

E secondo te perchè ha fatto questa cosa?
Forse per qualche ruolo del server?

Quote:

Originariamente inviato da stex21

per il resto il firewall non ha niente di particolare: classico ip pubblico sulla WAN, un normale tunnel ipsec con una preshared key, fa da server DHCP, e c'è il port forwarding di qualche porta.

Il giorno che lo acquisterò spero di non fare cilecca!

Quote:

Originariamente inviato da stex21

L'usg 100 va bene

L'unica cosa prova a fare un print screen della pagina IPSECSUBNETS, dove dovrebbero esserci i parametri per la creazione del tunnel VPN (MD5, SHA, etc etc)

Farò presto un print screen

[freddie24]

Quote:

Originariamente inviato da stex21

L'unica cosa prova a fare un print screen della pagina IPSECSUBNETS, dove dovrebbero esserci i parametri per la creazione del tunnel VPN (MD5, SHA, etc etc)

[stex21]

adesso mi picchi

ho sbagliato io a scrivere, volevo quello della sottomaschera advanced di quella schermata

non mi maledire

comunque il fatto che abbia due indirizzi IP il server può essere solo dato dal fatto che con il secondo indirizzo IP espleti qualche servizio particolare.
Per esempio se il gestionale che gira sul server è un client server, prova a capire a che indirizzo IP puntano i client per il database

[freddie24]

Quote:

Originariamente inviato da stex21

adesso mi picchi

ho sbagliato io a scrivere, volevo quello della sottomaschera advanced di quella schermata

non mi maledire

Figurati, io devo solo ringraziarti per la tua disponibilità.

Quote:

Originariamente inviato da stex21

comunque il fatto che abbia due indirizzi IP il server può essere solo dato dal fatto che con il secondo indirizzo IP espleti qualche servizio particolare.
Per esempio se il gestionale che gira sul server è un client server, prova a capire a che indirizzo IP puntano i client per il database

I client ricevono un indirizzo IP in automatico DHCP e hanno i DNS:
192.168.30.5 - 192.168.30.1


Ecco qui le schermate: