vpn con firewall hardware

[Caleb]

prossimamente dovrei creare una vpn fra diversi client in dial-up o comunque con ip dinamico (per i dipendenti da casa) e un router (ancora da scegliere) + un firewall zywall2 con supporto vpn; lo scopo è condividere le risorse in lan con i client casalinghi

fra certificati e chiavi mi ci sto perdendo... non ne so molto, da dove inizio? ho bisogno di un router anch'esso con supporto vpn o va bene uno qualunque? non ho ben capito se il supporto dev'essere sul firewall, sul router o su entrambi... boh; qualche dritta?

[indre]

ciao.
che vpn devi fare?
ipsec immagino...

inizia con la preshared key poi se vanno ti compri i certificati

il router deve semplicemente girare le porte sul firewall se fa nat altrimenti se già a posto così...

cmq lo zywall è semplice da configurare... dai un po di lettura e sei già attivo con la vpn

[albgen]

non serve pagare per i certificati.
te li crei da solo...
non stà offrendo un servizio pubblico e quindi nessun deve verificare l'identità...

[indre]

beh se nessuno ti deve certificare ok.

[Caleb]

non so bene cosa sia questo ipsec e di certificati non so nulla... preshared key? boh, indagherò; il problema è che da remoto non lo posso configurare e quando farò il tutto in loco dovrò essere pronto e cosciente di quel che starò facendo: ho tirato su un sshd sul server linux dietro al firewall, da lì mi telnetto allo zywall; è l'unico tipo di accesso che posso avere da remoto perchè su quel server non ho X e i browser testuali come lynx e simili non supportano l'interfaccia web dello zywall, dall'interfaccia via telnet non sembra ci sia modo di configurare sta vpn (forse dal cmd interpreter ma è incomprensibile)

volendo potrei chiedere di lasciare un client acceso, collegarmici in rdp e da lì andare sullo zywall... boh, qualcosa mi inventerò

quindi il router è indifferente? al momento c'è uno scrauso pirelli fornito da telecom che offre un minimale port forwarding, che porte devo nattare?

[indre]

spetta se il router fa nat e non routing deve supportare anche il NAT-T trasversal..
ma in genere lo hanno...

la porta udp 500 suppongo basti per ispec.
cmq se hai firewall in genere IO giro TUTTE le porte del router, tranne quelle per la gestione, sul firewall e gestisco tutto da li.

alcune opzione degli zyexl da telnet non son disponiili, mi viene in mente il firewall di alcuni router, su zywall non so, ne ho conf due 6 mesi or sono

cmq via web non son complicati, via telnet non ci ho nemmeno provato

[Caleb]

Originariamente inviato da indre
spetta se il router fa nat e non routing deve supportare anche il NAT-T trasversal..
ma in genere lo hanno...

la porta udp 500 suppongo basti per ispec.

fa schifo ma dovrebbe averlo... mal che vada glielo cambio, non è un problema

cmq se hai firewall in genere IO giro TUTTE le porte del router, tranne quelle per la gestione, sul firewall e gestisco tutto da li.

mmm questa non mi sembra una buona idea... con un portscan dall'esterno le vedresti tutte quante in filtered invece che close o stealth...

alcune opzione degli zyexl da telnet non son disponiili, mi viene in mente il firewall di alcuni router, su zywall non so, ne ho conf due 6 mesi or sono

cmq via web non son complicati, via telnet non ci ho nemmeno provato

ok vedrò di smanettarci... per quanto riguarda i client windows? basta che gli dico crea nuova connessione vpn, imposto l'ip destinatario e buonanotte?

[indre]

mmm questa non mi sembra una buona idea... con un portscan dall'esterno le vedresti tutte quante in filtered invece che close o stealth...

dipende dal firewall


la vpn la instauri su firewall - firewall indi per i pc è trasparente..
ovviamente ci saranno delle rotte statiche sul firewall che diranno che per raggiungere la rete x dovranno passare per il tunnel..

occhio che non vi siano indirizzi della stessa *classe* sulle sedi remote..
ciao

[Caleb]

dipende dal fw dici? boh ho appena provato a inoltrare un intero range dal router scrauso e con un nmap le vedo in filtered... indagherò

no le sedi remote in realtà sono solo dei client casalinghi con rtg dial-up o adsl con ip dinamico con modem usb... niente fw hardware; basterà fare nuova connessione > connessione rete aziendale > connessione vpn > inserimento ip?

[indre]

ahh avevo capito con firewall da ambo le parti..

il client ipsec di windows non so come funziona di preciso..

http://www.tomshw.it/network.php?guide=20030904

butta un occhio.. ma suppongo sia clicchi qui, li, là..