Rete VPN e router

[klorte]

Ciao a tutti,
in ufficio la mia lan (meno di 10 pc) accede ad internet tramite un router cisco ed un abbonamento free di tiscali (con ip dinamico).
Sul mio pc ho installato win2000 e dato che con tale SO c'è la possibilità di connettere una VPN ci sto provando ma con insuccesso...
Sul mio portatile con Windows 98 ho installato il supporto per la connessione alla VPN ma non riesco a collegarmi alla rete aziendale... spiego:
Ho trovato l'ip con il quale il router si collega ad internet e sul portatile ho inserito quello come ip di collegamento...
mi dice che non sono accettate connessioni VPN in ingresso. Devo in qualche modo settare il router diversamente oppure sto sbagliando tutto?
Ho capito che anzichè l'ip si può dare un nome host per il collegamento ma non riesco ne ad impostarlo sul pc con windows 2000 ne sul portatile.

C'è qualcuno che si è trovato nelle mie condizioni e che sa come posso fare?!?!?

Grazie mille a tutti....

(io sul portatile uso una connessione remota tramite modem)

Come si setta il tutto?!?!? ciaooooooo

[gohan]

innanzi tutto il router deve essere configurato per fare da server VPN. Se non lo è o non lo supporta evita pure di sforzarti che non ti farà mai entrare.

[klorte]

grazie per la risposta... ;-)
il router che ho in ufficio è un cisco serie 700 (se non sbaglio) forse 760... domani confermo.... e come si farebbe per configurarlo? con i comandi di telnet non ci capisco molto....
grazie mille.... e spero di riuscirci prima o poi!!!! ;-)

ciaooo

ma se fa da server VPN poi riesce comunque a permettere la connessione a internet ai pc della lan? (magari è una domanda banale ma in questo campo sono un esordiente totale)....

[gohan]

la funzionalità VPN è aggiuntiva alle normali funzioni di routing.
purtroppo di cisco non conosco quasi nulla, ma ti posso dire che l'unico modo di configurare i cisco è via telnet o seriale.

Cmq devi controllare se la versione dell'IOS che hai supporta le VPN.
Cmq non è proprio semplice semplice.

[igorlazunna]

scusa ma se non ho capito male hai un pc con windows 2000 in ufficio a cui vuoi far fare da vpn server.
Immagino poi che l'ip che vede l'interfaccia della tua lan interna sia privato e quello sulla rete di tiscali sia pubblico.
dovresti configurare il router per configurare un pat verso la tua lan interna, ossia, se da casa cerchi di connetterti all'ip pubblico assegnato su una porta specifica, dici al router di fare un pat sull'ip del tuo server win2000

es interfaccia verso tiscali a.b.c.d
interfaccia verso lan ufficio x.y.v.z

sul router dovrà essere configurato un pat
ip nat inside source static tcp x.y.v.z porta a.b.c.d porta extendable

spero sia chiaro.
comunque una domanda: ma hai accesso al router ?
chiaramente serve qualcuno che lo sappia configurare. inoltre quello che ho scritto sopra è valido se c'è un nat configurato sul roouter per navigare.

[klorte]

Vi ringrazio per la super consulenza, siccome non sono pratico tento di spiegare meglio, e vediamo se si può fare quello che voglio oppure se creerò solo casini... ecco:

Ho installato sul mio PC Windows 2000 Professional, il mio pc è in LAN con l'indirizzo 192.168.9.46 (subnet 255.255.255.0).

Nella LAN c'è il router (Cisco 761 ISDN) con indirizzo 192.168.9.200 che si connette ad internet attraverso un abbonamento free di Tiscali con un indirizzo assegnato dal server del provider e quindi sempre diverso.

Io vorrei che il mio PC con Windows 2000 riuscisse ad accettare le connessioni di un client VPN (Il mio portatile che uso a casa con Windows XP Pro) e che quindi facesse, come giustamente dici tu, da server VPN.


Ho installato sul mio PC con Windows 2000 in connessioni remote la possibilità di ricevere chiamate esterne, ma non riesco a combinare nulla e spiego subito il perché:
Quando sul portatile installo la connessione alla VPN mi viene chiesto un nome utente e una password (che devo mettere come autorizzazione all'accesso sul PC ufficio Windows 2000) ma mi viene chiesto un nome host oppure un indirizzo IP, e qui sono già in crisi perché ovviamente l'IP è dinamico e quindi non posso metterlo mentre il nome host non sono capace di configurarlo ma soprattutto non so neanche bene che cos'è....

Per fare una prova, tramite i comandi del router ho scoperto, in una determinata sessione di collegamento, l'IP che usava su intenet, ho tentato di connettermi dal portatile all'IP e mi da un messaggio di errore dicendo che il server non è abilitato ad accettare connnessioni VPN (o connessioni esterne, non ricordo).

Io ho l'accesso al router tramite telnet conosco la password e posso modificare i parametri, ma come???
Il software del router col comando VE mi da il seguente messaggio:

Software Version c760-i.b.NET3 4.3(1) - Feb 22 1999
Cisco 761
ISDN Stack Revision NET3 2.10

è abilitato a ricevere le chiamate da client VPN?

Putroppo su internet non trovo nessuna docmentazione e nessuna guida per creare una VPN che spieghi un po' dei problemi che si posso riscontrare... ne ho trovate un paio che in 6 passaggi spiegano in tutto, sfortunatamente il mio caso è più complicato....

igorlazunna, tu parli di pat, ma purtoppo non capisco il significato.... :-( mi aiuteresti spiegandomi brevemente (anche se so che ovviamente sono concetti complicati) di che cosa si tratta ed in che modo attraverso questo comando/funzione posso risolvere il mio problema?

Dimenticavo, nella mia rete dell'ufficio lavoriamo con IP statici e all'interno del "classico" gruppo di lavoro WORKGROUP...

Invece a casa ho una piccolissima rete (2 pc senza router) con modem ADSL e connessione condivisa...
Il mio portatile ha l'IP 192.168.0.2 e l'altro pc con modem e la connessioni ADSL ha l'IP 192.168.0.1

Grazie a tutti per la pazienza e per l'aiuto che mi avete già dato ;-)

Ciaooooooo

[igorlazunna]

dunque, effettivamente non è una cosa facile la confiugrazione di un router cisco, a meno che tu non lo abbia già fatto altre volte.

cercando di stringere il più possibile:
da casa tu potrai raggiungere solo l'indirizzo ip del router sull interfaccia isdn connessa a tiscali. perchè è l'unico ip che vedi dall'esterno.
invece il tuo server vpn è sulla lan interna.
come lo raggiungi ?
esistono diversi modi per risolvere il problema, ed uno è quello di confiugrare il router cisco affinchè determinate connessioni dirette all'indirizzo ip pubblico e su determinate porte sia nattato sull'ip del tuo server vpn.

Esempio:
ip router tiscali 69.10.1.2
ip server 192.168.0.46

ora, appurato che non so quale sia la porta che usa microsoft per la sua vpn (ma puoi guardare sul loro sito, credo che qualcosa ci sia), se dal pc di casa inserisci come ip address quello del router, ovviamente ti da errore.

il router deve quindi sapere che quando qualcuno lo "contatta" su quella ddeterminata porta, il traffico deve essere inviato all'ip privato del tuo server vpn.

ipotizzando che la porta vpn sia la 7000/tcp

ip nat inside static tcp 192.168.0.49 7000 69.10.1.2 7000 extendable

spero di essere stato chiaro.

[klorte]

grazie per la risposta,
capisco cosa intendi dire tu, praticamente se una connessione sul router arriva con riferimento alla porta xyx il router la "inoltra" all'indirizzo che voglio io (quindi del mio pc)...

Una cosa però: come faccio a collegarmi dall'esterno (quindi da casa) inserendo l'IP che il router usa su internet? Ogni volta ne viene assegnato uno differente da tiscali, c'è un modo per utilizzarne uno fisso? (se non sbaglio questa opzione è sui collegamenti a pagamento e non sui free)...
Al posto dell'IP si può usare un nome host per il collegamento alla VPN che risalirà direttamente all'IP (se non ho capito male), si può impostare un nome host al router in modo da poterlo identificare su internet???!?!

Grazie ancora l'aiuto, ciao

[gohan]

ma vorresti che il router ISDN fosse always-on?

[klorte]

Diciamo che non è sempre attivo perché internet in ufficio, bene o male lo uso solo io, per esempio, stamattina sono uscito un'ora e non usando il router ho dovuto rifare la chiamata quando sono rientrato...
non penso che sia un problema perché nel caso non fossi in ufficio e volessi accedere alla lan da casa col portatile basterebbe una telefonata per farmi aprire la connessione ad internet in ufficio... e potrei accedervi (ovviamente una volta settato tutto correttamente)...

In cantiere abbiamo una linea ADSL ma aspettiamo l'attivazione e cmq anche quella non avrà IP statico e penso che funzioni solo nelle ore d'ufficio, quindi il problema dell'IP dinamico si ripresentarà poi.... ed è per quello che sto cominciando ad affrontare il discorso ora che abbiamo ancora l'ISDN... perchè penso che cmq la configurazione con ADSL cambierà poco

PS se faccio confusione fermatemi!!!!!

Ciao

[gohan]

per l'ip dinamico puoi usare no-ip.com .

[klorte]

in che senso? Tu dici di inserire questo no-ip.com quando sul portatile mi chiede l'indirizzo IP del server VPN oppure no-ip.com è un comando particolare del router??!?

Intanto mi faccio una ricerchina sul web perché così imparo di sicuro qualcosa in più...

Cmq Gohan tu pensi sia possibile realizzare con mio Hardware quello che ho intenzione di fare?

Ciao e grazie ancora

[klorte]

sto dando un'occhiata a no-ip.com :-)

[gohan]

la VPN come vuoi fare tu, non semplice da far funzionare. Conosco persone che hanno passato ore cercando di configurare un server VPN con win 2000 server, spesso senza successo.
La soluzione più semplice sarebbe quella di prendere un router che faccia da server VPN, magari con interfaccia WEB.

[klorte]

Dai che ce la facciamo.... ;-)
ho creato un account con no-ip.com e ora ho un dns (insomma un nome) che non cambia al cambiare dell'IP....

quindi ora ho un valore fisso che non cambia mai, ma come fare a dire al router di "inoltrarmi" la connessione che faccio dal portatile al mio server Windows 2000?

mi avete consigliato di settare questo comando:
ip nat inside static tcp 192.168.0.46 7000 69.10.1.2 7000 extendable

solo che mi mancano due cose, questo comando può essere usato nella forma:
ip nat inside static tcp 192.168.0.46 7000 nome.dominio.com 7000 extendable
(praticamente con il nome anziché l'IP)?

e soprattutto, come faccio a scoprire la porta che devo utilizzare? una vale l'altra, c'è un valore preciso oppure va bene anche il 7000 che mi avete detto?!?!?

Scusate ma la cosa mi sta appassionando... ;-) speriamo di farcela!!!!!
Ciaooo

[klorte]

Ho provato ad inserire la stringa che mi avete consigliato ma putroppo non funziona, mi dice che il comando è errato... :-(

[igorlazunna]

dovresti cercare un po' di documentazione sull'ios installato sul router.
Il comando è ios dipendente e francamente un 760 non l'ho mai usato.

comunque sembra che il comando sia
set ip pat porthandler num_porta ip_address
esempio
set ip pat porthandler 21 10.10.10.2 per ftp


comunque credo sia opportuno che tu dia un'occhiata (ma non troppo velocemtne) qua
http://www.cisco.com/en/US/products/...ence_list.html