VPN dinamica con ZyWall 2 Plus in housing

[aasmdaa]

Situazione:

- Server dedicato con indirizzo IP fisso (IP1)
- Firewall Zywall 2 Plus collegato a monte del server (IP2)

Ora voglio configurare una VPN dal menù del firewall per poter accedere al server tramite la VPN appunto. Userà il client ZyWall IPSec VPN client per la connessione dai pc (indirizzi dinamici).

Ho seguito questo guida http://www.zyxel.it/managerpartner/u...1120141080.pdf ma avendo una situazione diversa non capisco come configurare il Zywall; in particolare:

- Pag.2: Local ID Type - Content: cosa devo inserire qui? L'indirizzo del Zywall IP2?
- Pag.4: Local Network: devono iserire l'IP pubblico del server IP2?

grazie
ciao

[deleted_29]

Originariamente inviato da aasmdaa
Situazione:

- Server dedicato con indirizzo IP fisso (IP1)
- Firewall Zywall 2 Plus collegato a monte del server (IP2)

Ora voglio configurare una VPN dal menù del firewall per poter accedere al server tramite la VPN appunto. Userà il client ZyWall IPSec VPN client per la connessione dai pc (indirizzi dinamici).

Ho seguito questo guida http://www.zyxel.it/managerpartner/u...1120141080.pdf ma avendo una situazione diversa non capisco come configurare il Zywall; in particolare:

- Pag.2: Local ID Type - Content: cosa devo inserire qui? L'indirizzo del Zywall IP2?
- Pag.4: Local Network: devono iserire l'IP pubblico del server IP2?

grazie
ciao

sticavoli, anche qui mi fai andare a memoria!
comunque
local id type è la tipologia di autenticazione.
Ad esempio puoi mettere

local id type email
content client@client.it
my ipaddress 0.0.0.0
peer id type email
content server@server.it
secure gateway address IP_DEL_SERVER

In pratica è la primissima fase di instaurazione del tunnell: c'è una sorta di "preautenticazione" che può essere fatta in tanti modi, tra client e server. Se "alla grossa" si riconoscono passi alle fasi successive.

Un'unica attenzione: se hai PIU' tunnel è indispensabile settare il modo AGGRESSIVO, sennò col cavolo che funziona

[aasmdaa]

Ho fatto diverse prove ma non mi funziona lo stesso. Ho preferito farti dei print screen con la configurazione così è più chiaro.

Li trovi a questo indirizzo:

http://imageshack.us/g/703/fw1c.jpg/

Quando hai tempo se riesci a darmi una dritta prima che spacchi qualcosa sul muro...

Resta bloccato alla prima fase come si vede.

[deleted_29]

qui ti metto una configurazione client-server di esempio,
con server ad IP fisso e client variabile (penso sia il tuo caso, così a occhio).

http://imageshack.us/photo/my-images/195/zyxeli.jpg/

gli aspetti da considerare sono
1) modalità aggressiva
2) in questo esempio il client ha un ip singolo, 192.168.1.2, mentre la rete del server è 192.168.0.1-240

praticamente il client può connettersi a qualsiasi computer in questo intervallo, fuori no [aka: altri tunnell per 241 e così via]

in alternativa puoi anche fare un IP singolo-IP singolo

l'autenticazione che ho messo è la più bovina, con indirizzi email fittizi, ma funziona ugualmente.

in sostanza le impostazioni vanno "speculari"

ATTENZIONE: se lato-server vuoi un singolo IP, metti COMUNQUE un range, tipo 192.168.0.241-192.168.0.241

3) ovviamente nel client devi mettere l'iP statico del server nel "secure gateway address"

4) altrettanto ovviamente la password deve essere identica, così come tutti gli altri parametri (non usare MD5, e metti AES)

[aasmdaa]

Eccomi qua. Finalmente sono riuscito a far funzionare questa VPN (un ringraziamento particolare a franzauker per le dritte, in particolare uno dei problemi era quello del range anche usando un ip singolo).
La connessione va subito a buon fine e la connessione VPN rimane aperta.

Ora rimane un altro dubbio:

Sul mio pc ho un indirizzo (10.1.105.7 ad esempio), nel client VPN ho dovuto specificare 2 indirizzi:

IP del client VPN : 192.168.8.1
IP del remoto : 192.168.7.2

Il client infatti, al momento dell'inserimento specifica che è preferibile mettere 2 sottoreti differenti.

A questo punto però mi aspettavo di poter/dover pingare ed usare come indirizzo il 192.168.7.2 per il server ma così non è.
Quale IP devo usare per puntare al server?

[deleted_29]

francamente non mi ricordo, il client VPN zyxel l'ho usato pochissimo sostituendolo con le versioni "hardware".
se lo ritrovo te lo dico subito (subito vuol dire in un paio di giorni, oggi non ci scommetterei).

non mi è chiarissimo perchè hai messo un indirizzo IP del client VPN su una sottorete diversa dalla tua macchina, ad esempio.

bon vado in ufficio che i clienti mi reclamano!

[aasmdaa]

Era un tentativo. Ho provato:

- indirizzo della stessa sottorete di quello configurato per il server (192.168.7.x)
- indirizzo diverso (192.168.8.1)
- indirizzo della stessa sottorete della lan fisica del pc (10.1.105.8)

in tutti i casi non riesco a puntare al server.

Sulle regole del firewall tutto il traffico VPN-VPN è su permit per cui non è quello il problema.

[deleted_29]

Originariamente inviato da aasmdaa
Era un tentativo. Ho provato:

- indirizzo della stessa sottorete di quello configurato per il server (192.168.7.x)
- indirizzo diverso (192.168.8.1)
- indirizzo della stessa sottorete della lan fisica del pc (10.1.105.8)

in tutti i casi non riesco a puntare al server.

Sulle regole del firewall tutto il traffico VPN-VPN è su permit per cui non è quello il problema.

bisogna controllare la route, in particolare hai messo come gateway predefinito l'IP del client vpn?

EDIT: ma soprattutto, perchè DUE impostazioni diverse? Io ne ricordo una sola

a memoria è remote party IP o qualcosa del genere [per la parte LAN] e id type (per quella WAN)
---
PS non sto trovando il client

[aasmdaa]

OK grazie lo stesso non voglio romperti troppo (altrimenti mi tocca pagarti la consulenza...).

Appena sono libero faccio altre prove ed in caso ti mando lo screen-shot del client.

Intanto grazie.

[deleted_29]

il problema è che il client è la versione "smucinata" di uno universale (thegreenbow), per il quale esistono forse 70000 versioni diverse