PDA

Visualizza la versione completa : Accesso ad internet attraverso un router diverso da quello della lan


dops
14-04-2007, 08:53
Ciao, mi trovo in una situazione dove in sede ho due router, uno facente parte di una vpn dove i vari host della sede si interfacceranno per condividere le risorse su tutta la vpn ed un altro attaccato ad una connessione hdsl 2 mb interbusiness che serve appunto per l'accesso ad internet. Il gateway dei pc in lan sarà sicuramente il router della vpn in quanto se non metto questo come gateway sui vari host questi stessi verrebbero ovviamente tagliati fuori dalla vpn. Nello stesso tempo questi host devono poter uscire su internet attraverso il router interbusiness. A questo punto mi chiedevo se aggiungendo alla sceda di rete come default gateway l'indirizzo privato di tutti e due i routers potrebbe essere una soluzione oppure se devo per forza fare in modo che il router vpn venga istruito affinchè rimandi al router interbusiness i pacchetti indirizzati a determinate porte (es. la 80).
Se la prima soluzione è valida volevo sapere a quali inconvenienti potrei andare incontro..
Ciao ;)

indre
14-04-2007, 13:56
oggettivamente non ho ben capito..
cmq potresti metter una static sui pc per raggiungere la rete privata della vpn remota oppure meglio farla gestire dal firewall o router...
quando arriva una richiesta per la rete privata remota rigira il traffico sull'altro gateway..

dops
14-04-2007, 20:18
uhm.. provo a spiegarmi meglio. In azienda ci sono due router, uno attaccato alla connessione hdsl 2mb interbusiness ed un altro è il router della vpn. Il router vpn mi serve appunto per far interagire i vari hosts e server dell'azienda con le sedi remotre (io mi trovo al centro stella ma questo non è importante).
Facciamo che il router della vpn è stato configurato per avere interfaccia ip privata con la classe 192.168.1.1 e quindi la configurazione di un pc di questa sede deve essere questa (ovviamente corregetemi se sbaglio):
----------------
IP: 192.168.1.X
SM: 255.255.255.0
DG: 192.168.1.1
----------------

In questo modo permetto a questo pc di interagire con il router e quindi con gli altri pc in lan e soprattutto (facendo questo router parte di una vpn) posso interagire con altri pc sulle sedi remote (policy permettendo ovviamente).

Fin quando restiamo nell'ambito locale o vpn non credo ci dovrebbero essere problemi con una configurazione simile. Una vpn essendo per definizione chiusa rispetto al mondo esterno (internet) i pc di questa sede per accedere ad internet dovranno sfruttare un ulteriore router e cioè quello della interbusiness che facciamo abbia come indirizzo ip assegnato alla ethernet: 192.168.0.1.

Ecco quindi il mio dubbio.. i pc di questa rete hanno come dafault gateway l'indirizzo del router vpn e sono quindi bloccati all'interno della vpn.. come faccio a farli uscire su internet?
Nel caso non avessi al momento un firewall, posso comunque trovare un escamotage per poterli far uscire su internet (e per escamotage intendo la soluzione che ho proposto io e cioè quella di assegnare due default gateway alla scheda di rete dei pc).

;)

fbracal
15-04-2007, 15:06
C'è qualcosa che ancora mi sfugge...
Se il router della VPN non è collegato a Internet, come fa a funzionare la VPN?
Mi spiego meglio, le sedi remote si collegheranno a Internet in qualche modo e da li apriranno una conessione VPN verso la sede centrale, ma se il router / firewall della sede centrale non è collegato a Internet, come può funzionare il tutto?

dops
15-04-2007, 16:27
Originariamente inviato da fbracal
C'è qualcosa che ancora mi sfugge...
Se il router della VPN non è collegato a Internet, come fa a funzionare la VPN?
Mi spiego meglio, le sedi remote si collegheranno a Internet in qualche modo e da li apriranno una conessione VPN verso la sede centrale, ma se il router / firewall della sede centrale non è collegato a Internet, come può funzionare il tutto?

E' una buona domanda, ma forse hai superato un passaggio, almeno credo non essendo io un esperto di reti. Una vpn (rete virtuale privata (non è per te ma per chiunque altro legge questo messaggio ;))) per definizione e logica è chiusa al pubblico, questo non significa certo che le varie sedi per comunicare non fanno uso di ciò che oggi chiamiamo internet. I dati che passano sulla vpn viaggiano certo sulla rete pubblica ma sono riparati dalla rete pubblica attraverso quello che si chiama tunneling per cui in fase di configurazione di una rete privata virtuale si specifica lo strato di rete attraverso il quale i pacchetti devono viaggiare. Questo ovviamente per rendere sicura la vpn da attacchi o accessi non autorizzati, poi per quanto riguarda la sicurezza del dato vengono utilizzati protocolli adhoc tipo IPSec ma questo è un altro discorso.
Resta quindi chiaro che due sedi che vogliono comunicare tra loro tramite vpn non possono uscire fuori da quello che è il tunnel creato, uscire fuori da questo tunnel significherebbe aprire delle porte o dei protocolli verso l'esterno (la rete pubblica) e quindi essere soggetti a possibili attacchi. Per uscire sulla rete pubblica, i client di una certa rete dovranno utilizzare un altro gateway predisposto a tale scopo.. ed ecco qui che mi si presenta la difficoltà.. quella cioè di dover fare in modo che i client di una certa lan facente parte della vpn aziendale possano comunque uscire su internet attraverso il secondo router non connesso alla vpn.

indre
16-04-2007, 09:19
ok, ma hai impostato le rotte statiche sull'ìapparato che fa le vpn?
se quello è il dafault gw, li puoi metter le rotte statiche instradando il traffico a tuo piacimento..

potresti metter una rotta con distanza amministrativa bassa per la vpn e una + alta per internet..
per esempio..

per andare verso 192.168.1.0/24 (rete remota ipotetica della vpn) passa da qui e la DS è 20
per andare verso 0.0.0.0/0 (internet) passa da questo router (192.168.2.1) e la DS è 40

dops
16-04-2007, 21:55
Originariamente inviato da indre
ok, ma hai impostato le rotte statiche sull'ìapparato che fa le vpn?
se quello è il dafault gw, li puoi metter le rotte statiche instradando il traffico a tuo piacimento..

potresti metter una rotta con distanza amministrativa bassa per la vpn e una + alta per internet..
per esempio..

per andare verso 192.168.1.0/24 (rete remota ipotetica della vpn) passa da qui e la DS è 20
per andare verso 0.0.0.0/0 (internet) passa da questo router (192.168.2.1) e la DS è 40
quindi insomma basterebbe mettere una rotta statica sul router vpn che instradi il pacchetto verso il router interbusiness (internet)?
Cosa intendi per "DS" ? (scusa sono abbastanza ignorante lo sò) :D
Ancora una domanda.. quando dici:
per andare verso 0.0.0.0/0 (internet) passa da questo router (192.168.2.1) e la DS è 40
Quale indirizzo ip intendi con "0.0.0.0" ? non dovrei controllare la porta su cui faccio la richiesta? e non l'ip?
Ultima domanda: Questi instradamenti potrei farli con un firewall che si trova ovviamente nel mezzo tra i gateways (i due routers) e lo switch del rack principale ?

Grazie mille ;)

indre
17-04-2007, 09:13
sicuramente con il firewall di mezzo..

scrivevo 0.0.0.0 0.0.0.0 per indicare tutti gli ip...
indi se deve andare su internet..
mentre se devi andare verso la vpn specifichi un ip privato
192.168.1.0/24

ovviamente la seconda che ho scritto ora deve avere un DS, ovvero un ordine di pirorità minore... poichè deve esser processata per prima altrimenti TUTTO il traffico andrà verso la rotta n.1

dops
17-04-2007, 16:19
Originariamente inviato da indre
sicuramente con il firewall di mezzo..

scrivevo 0.0.0.0 0.0.0.0 per indicare tutti gli ip...
indi se deve andare su internet..
mentre se devi andare verso la vpn specifichi un ip privato
192.168.1.0/24

ovviamente la seconda che ho scritto ora deve avere un DS, ovvero un ordine di pirorità minore... poichè deve esser processata per prima altrimenti TUTTO il traffico andrà verso la rotta n.1
Ah per ds intendevi ordine di priorità della riga :D
quindi 0.0.0.0 0.0.0.0 è realistico.. posso mettere una statica con il 0.0.0.0 0.0.0.0 ?

indre
17-04-2007, 16:45
si significa verso tutti :)

Loading