chiarimenti sulla vpn

[robertom]

vorrei, da profano, chiedere un paio di cose sulla vpn.
Avendo a disposizioni su due sedi un indirizzo ip statico, esiste un modo per configurare una vpn in modo tale che:

- alcune, ma non tutte, postazioni delle due sedi si presentino all'esterno con lo stesso indirizzo pubblico pur essendo collocate su sedi diverse?

- è possibile nascondere completamente la vpn alle postazioni in modo tale che non siano in grado (le singole postazioni) di sapere, l'una dell'altra, se sono nella stessa sede o nell'altra? Praticamente configurarle come se fossero nella stessa lan?

grz

[paolo764]

domanda 1)
risposta= si. ovviamente se i pc della sede A devono uscire con l'ip pubblico della connettività della sede B.....suddetti pc devono poter uscire dalla linea internet della sede B.
come lo si fa? ruoti (tramite routing) i pc nella sede A che ti interessano dietro la VPN che interconnette la sede B e da li fai uscire tutto.

domanda 2)
mica ho capito.
se una postazione capisce un determinato ip dove sta fisicamente significa che l'utente di quella potazione A) ha conoscenza della rete B) si stanno usando ip di subnet diverse C) l'utente ne sa più di te D) non stai nattando ( ma potresti anche non doverlo/volerlo fare) E) varie ed eventuali.

se magari ti spieghi meglio si riesce ad essere più precisi. cosi non mi è molto chiaro.

[robertom]

Quote:

Originariamente inviato da paolo764

domanda 1)
risposta= si. ovviamente se i pc della sede A devono uscire con l'ip pubblico della connettività della sede B.....suddetti pc devono poter uscire dalla linea internet della sede B.
come lo si fa? ruoti (tramite routing) i pc nella sede A che ti interessano dietro la VPN che interconnette la sede B e da li fai uscire tutto.

domanda 2)
mica ho capito.
se una postazione capisce un determinato ip dove sta fisicamente significa che l'utente di quella potazione A) ha conoscenza della rete B) si stanno usando ip di subnet diverse C) l'utente ne sa più di te D) non stai nattando ( ma potresti anche non doverlo/volerlo fare) E) varie ed eventuali.

se magari ti spieghi meglio si riesce ad essere più precisi. cosi non mi è molto chiaro.

intanto grazie della risposta. Vediamo se riesco a spiegarmi meglio e a capire quello che mi hai detto.

provo a scrivere un esempio:
pc1 della sede A: indirizzo lan 192.168.1.101
pc2 della sede A: indirizzo lan 192.168.1.102
router della sede A: indirizzo lan 192.168.1.1 indirizzo pubblico 81.121.78.45 (per esempio)

pc3 della sede B: indirizzo lan 192.168.1.103
pc4 della sede B: indirizzo lan 192.168.1.104
router della sede B: indirizzo lan 192.168.1.2 indirizzo pubblico 95.79.121.64 (per esempio)

Io vorrei:
- che il pc1, il pc3 e il pc4 utilizzino l'indirizzo pubblico della sede B (95.79.121.64)
- che il pc2 utilizzi l'indirizzo pubblico della sede A (81.121.78.45)

- Inoltre vorrei che il pc1 sia in comunicazione con il pc3 e il pc4 come se fosse in lan. Ovvero i tre pc possano pingarsi senza che siano "intralciati" dalla vpn.

Mi sono spiegato meglio?

[stepvr]

Quote:

Originariamente inviato da robertom

intanto grazie della risposta. Vediamo se riesco pc1 della sede A: indirizzo lan 192.168.1.101
pc2 della sede A: indirizzo lan 192.168.1.102
router della sede A: indirizzo lan 192.168.1.1 indirizzo pubblico 81.121.78.45 (per esempio)

pc3 della sede B: indirizzo lan 192.168.1.103
pc4 della sede B: indirizzo lan 192.168.1.104
router della sede B: indirizzo lan 192.168.1.2 indirizzo pubblico 95.79.121.64 (per esempio)

Non l'hai scritto ma suppongo che quelle che hai indicato sono reti in classe C /24 per cui la VPN proprio non la fai.
Mi spieghi come il PC 192.168.1.101/24 potrebbe raggiungere PC 192.168.1.103/24 dato che entrambi PC sanno che l'altro appartiene alla propria rete locale?
Come minimo devi usare: per la sede A 192.168.1.0/24 e per sede B 192.168.2.0/24; in alternativa puoi usare 2 sottoreti della stessa classe ma se non hai mano la cosa si complica.

Rispondendo al resto della domanda:
se PC1 (sede A) appartiene alla sede B avra' un IP della rete B e uscira' in internet dalla linea della sede B
PC2 uscira' in internet dalla linea della sede A

Nota: dipendera' dalle connessioni usate ma PC1 sara' ben piu' lento degli altri nel comunicare passando sempre dalla VPN e sfruttando le sole bande di upload delle linee pagando anche il dazio sull'intero traffico generato dalle 2 sedi. Quindi ti consiglio che il solo traffico internet di PC1 esca direttamente dalla linea della sede A senza usare la VPN.

[robertom]

Quote:

Originariamente inviato da stepvr

Non l'hai scritto ma suppongo che quelle che hai indicato sono reti in classe C /24 per cui la VPN proprio non la fai.

beh intendevo come subnet 255.255.255.0

Quote:

Originariamente inviato da stepvr

Mi spieghi come il PC 192.168.1.101/24 potrebbe raggiungere PC 192.168.1.103/24 dato che entrambi PC sanno che l'altro appartiene alla propria rete locale?

speravo che la ricerca aldilà della vpn fosse automatica.

Quote:

Originariamente inviato da stepvr

Come minimo devi usare: per la sede A 192.168.1.0/24 e per sede B 192.168.2.0/24; in alternativa puoi usare 2 sottoreti della stessa classe ma se non hai mano la cosa si complica.

provi a spiegarmelo?

Quote:

Originariamente inviato da stepvr

Rispondendo al resto della domanda:
se PC1 (sede A) appartiene alla sede B avra' un IP della rete B e uscira' in internet dalla linea della sede B
PC2 uscira' in internet dalla linea della sede A

Nota: dipendera' dalle connessioni usate ma PC1 sara' ben piu' lento degli altri nel comunicare passando sempre dalla VPN e sfruttando le sole bande di upload delle linee pagando anche il dazio sull'intero traffico generato dalle 2 sedi. Quindi ti consiglio che il solo traffico internet di PC1 esca direttamente dalla linea della sede A senza usare la VPN.

è proprio questo che sto cercando di fare.
Non mi importa che ci sia un problema di banda (mi sendo conto che il collo di bottiglia è l'upload della sede A).

[stepvr]

Quote:

Originariamente inviato da robertom

beh intendevo come subnet 255.255.255.0

Appunto 255.255.255.0 = /24 (convenzione per indicare la stessa cosa ma piu' breve). Quindi la VPN non la fai.

Quote:

Originariamente inviato da robertom

speravo che la ricerca aldilà della vpn fosse automatica.

Semplifichiamo ...

Quote:

Originariamente inviato da robertom

provi a spiegarmelo?

Nel tuo caso, e ad oggi, avresti un singolo PC (sede A) che deve parlare con una LAN remota (sede B) quindi una configurazione HOST-to-LAN.
Quindi:

• configuri il PC sulla LAN della sede A
• crei una VPN dal PC al router remoto

In tutti i casi la LAN della sede A e della sede B devono essere diverse.

Quote:

Originariamente inviato da robertom

è proprio questo che sto cercando di fare.
Non mi importa che ci sia un problema di banda (mi sendo conto che il collo di bottiglia è l'upload della sede A).

Se crei la VPN dal PC e in ambiente Microsoft, all'attivazione della VPN il PC apparterra' alla sede B a tutti gli effetti ed e' implicito il funzionamento che chiedi.
Il collo di bottiglia sara' l'upload della sede A e l'upload della sede B.

[Dane]

Volendo puoi fare quel che vuoi (stesso indirizzamento nonostante sedi distinte) facendo una vpn-bridge. Non ho mai provato, ma dovrebbe funzionare. Male, perchè riempiresti la vpn di broadcast inutili.

Rimane il fatto che è molto più facile e lineare fare due indirizzamenti distinti (sedeA, sedeB), usare dei router un pelo decenti e far uscire alcuni host dalla sede remota passando per la vpn.

Ancora più facile:
nella sedeA tieni un pc (o VM) alla quale accedi dalla sede B via RDP, o altro protocollo equivalente.
Lo stesso vale al contrario: pc acceso nella sedeB alla quale si collegano dalla sedeA.
La sessione di lavoro è sul pc nella sede remota, quindi tutte le connessioni usciranno da là senza fare giri assurdi.


In sostanza dipende tutto se gli utenti devono sapere o no da che IP escono.

[paolo764]

Quote:

Originariamente inviato da robertom

intanto grazie della risposta. Vediamo se riesco a spiegarmi meglio e a capire quello che mi hai detto.

provo a scrivere un esempio:
pc1 della sede A: indirizzo lan 192.168.1.101
pc2 della sede A: indirizzo lan 192.168.1.102
router della sede A: indirizzo lan 192.168.1.1 indirizzo pubblico 81.121.78.45 (per esempio)

pc3 della sede B: indirizzo lan 192.168.1.103
pc4 della sede B: indirizzo lan 192.168.1.104
router della sede B: indirizzo lan 192.168.1.2 indirizzo pubblico 95.79.121.64 (per esempio)

Io vorrei:
- che il pc1, il pc3 e il pc4 utilizzino l'indirizzo pubblico della sede B (95.79.121.64)
- che il pc2 utilizzi l'indirizzo pubblico della sede A (81.121.78.45)

- Inoltre vorrei che il pc1 sia in comunicazione con il pc3 e il pc4 come se fosse in lan. Ovvero i tre pc possano pingarsi senza che siano "intralciati" dalla vpn.

Mi sono spiegato meglio?

tutto quell che vbuoi fare lo puoi fare senza problmi a patto che:

1) i pc della sede A abbiano indirizzamento diverso da quelli dlla sede B ( ad esepio 12.168.1.0/24 per la sede a e 92.168.2.24 per la sede B. Ovviamente anche l'indirizzo lan dei roter devono cambiare ).
nota..in realta potresti tenere anche gli stessi indirizzi ma a questo punto devi fare source e "destination nat" ma se non sai come si fa lascia stare. fai prima a cambiare gli ip di una delle 2 sedi.


A questo punto fai una vpn (magari ipsec site to site) tra le 2 sedi.....e sul router della sede A fai PBR (policy based routing ). cosa significa? beh con il PBR il router è in grado di capire che quando uno SPECIFICO sorgente ( in questo caso il PC1 ) vuol andare verso una SPECIFICA destinazione ( in questo caso internet della sede B ) non deve uscire dal defult gateway della sede A ma bensi attraversare la VPN, arrivare alla sede B e da qui userà la rotta di default della sede B che lo farà uscire in internet con l'ip pubblco di B.

stessa cosa deve essere fatta in ritorno.

tutto il restante traffico girerà normalmente.
Lascia stare chi ti dice che le performance via vpn fanno schifo. non è vero, o almeno lo è solo se usi apparati schifosi.

L'overhead aggiunto dalla vpn è minimo quindi nessu problema di performance.
La vpn non intralcia alcunché. bisogna solo sapere cosa si sta facendo.

ciao