porte da "nattare" per VPN

[ale82x]

visto che non riesco a configurare gli ip aggiuntivi che mi ha dato telecom per raggiungere direttamente il firewall, mi sono detto: e se giro le porte che arrivano sul router di modo che vadano sul firewall funzionerà???

in internet trovo:
Se i client VPN passano attraverso un router o un firewall, accertarsi che, se si utilizza il protocollo PPTP, la porta TCP 1723 e il protocollo IP con ID 47 (GRE, Generic Routing Encapsulation) siano autorizzati a passare attraverso il router o il firewall. Se si utilizza il protocollo L2TP, è necessario aprire la porta UDP 500 (IKE), l'ID protocollo 50 (IPSec ESP) e l'ID protocollo 51 (IPSec AH).

il problema è che sul mio router (Atlantis land Webshare 242W) posso solo "inoltrare" i protocolli TCP o UDP... infatti ho girato la 1723 TCP, e la 500 UDP, ma quando provo a connettermi mi da errore!
l'errore è: 800, impossibile stabilire una connessione VPN

grazie per l'aiuto

[indre]

con lo zyxel giro tcp e udp, non ho possibilità nemmeno io di girare ip ma mi va..
strano davvero..
cmq ti consiglio di utilizzare vpn-ssl... comode e banali da configurare piuttosto che pptp..
ssl-explorer può fare al tuo caso...
che firewall è?

[ale82x]

cmq ti consiglio di utilizzare vpn-ssl... comode e banali da configurare piuttosto che pptp..

cosa sono vpn-ssl e ssl-explorer???
per il firewall è un micronet (mai sentito, solo che ormai abbiamo già comprato questo...)
però scusa tu hai detto che giri TCP e UDP ma che numero? tutte o solo la 1723 TCP e la 500 UDP?

[indre]

dunque io in genere ho conf con + ip pubblici.. quindi al 90% faccio fare routing al router (NO NAT) e avendo poi un ip pubblico sul firewall gestisco li le policy di NAT e VPN..
in genere uso ipsec ma nell'ultima release uso le vpn su ssl, porta 443 che è normalmente sempre aperta..
questo è il link per vpn-ssl
LINK
l'install è un po ostica da quel che mi ricordi - java based.

Se invece il cliente è tirchio e ha un solo IP pubblico in genere dal router NATTO tutto verso l'ip della porta external del firewall tranne la 23 per gestione router..
in questo modo posso gestire tutto dal firewall..
certo dopo bisogna fare un doppio NAT, ovvero uno sul router e uno sul firewall erò non è problema..
oppure metti una static route sul router per raggiungere la rete locale oltre il firewall..
Quel firewall non lo ho mai sentito.. quindi non ti so aiutare nel dettaglio..

[ale82x]

ok, adesso mi vado a vedere il link che mi hai dato...
però anch'io ho preso 8 ip aggiuntivi ma non riesco a configurarli...
ho impostato il tutto così:

wan router: 82.88.xxx.xxx (ip statico della linea) mask 255.255.255.0
lan router: 81.74.xxx.xxx (un ip aggiuntivo) mask 255.255.255.248

wan firewall: 81.74.xxx.xxx (un altro ip aggiuntivo) mask 255.255.255.248
lan firewall: 192.168.xxx.xxx (ip privato) mask 255.255.255.0
e i vari pc

però se pingo i'ip aggiuntivo del firewall non riesco (il firewall è programmato per rispondere) e non so il perchè...

la mask 248 finale è perchè mi ha detto telecom di fare così!
la funzione nat nel router è abilitata perchè se la disabilito i pc non vanno più in rete...

hai qualche idea di dove sbaglio?

grazie

[indre]

beh sicuramente il router non deve fare NAT ma solo Routing, in quanto hai già IP pubblici..

conf tipo dei client?
default route del firewall?
policy?
ora vo a bere caffè, dopo proviamo a vedere..

[ale82x]

conf tipo del client la prende dal DHCP del server
comunque
ip 192.168.0.xxx
mask 255.255.255.0
gateway 192.168.0.3 (lan firewall)

per quanto riguarda il firewall
ho configurato come
indirizzo ip 81.74.138.xxx (uno degli indirizzi ip aggiuntivi)
mask 255.255.255.248 (come dettomi dalla telecom)
gateway 81.74.138.xxx (lan del router)

infatti i pc vanno in internet e io dalle postazioni posso vedere il router...

per policy cosa intendi?

[indre]

ok allora il router è in ROUTING, non NAT..
il nat lo fa il firewall..
la vpn dove la tiri su ? a livello di firewall o di server interno?

[ale82x]

la VPN la tiro su direttamente al firewall, infatti il programmatore che è stato qui per darmi una mano mi ha detto: una volta che riusciamo ad arrivare al firewall poi è un problema nostro e non di telecom... però io non riuscendo a configurare gli ip aggiuntivi e quindi non raggiungendo il firewall ho scritto questo post per sapere quali erano le porte da inoltrare al firewall...

quindi tu mi dici che ho configurato tutto giusto e se non riesco a pingare il firewall è un problema di telecom???

[indre]

ciao..
non non è prob di telecom..
avrai qualche policy che blocca icmp?
sinceramente toglierei il nat dal router e farei fare solo al firewall..
li puoi nattare anche 1:1 altre macchine se ne hai tipo dns o mailserver..
però sulla conf effettiva del firewall non ti so dire.. mai provato uno di quella marca li