Username
Password

Networking

Area di Discussione sulle Telecomunicazioni
Rispondi Invia Nuova Discussione 
Thursday, 16 October 2008, 10:17
cyberfido
 Utente Saltuario
 
 Messaggi: 30

VPN tra Zyxel 662H-D1


Ciao a tutti,
la prima domanda che vi pongo nella mia vita in questa comunità è questa.

Lavoro in un'azienda strutturata in questo modo:
Sede Centrale
4 Filiali
le LAN sono queste
LAN DATI 192.168.0.0/24
LAN VOCE 192.168.1.0/24
Sede A 192.168.2.0/24
Sede B ....etc

Nella sede centrale abbiamo 2 adsl una dedicata al traffico dati e una dedicata al VoIP. Entrambe hanno 8 IP Statici dedicati.

Sulla dati abbiamo un Router Zyxel 660H-D1 e dietro al router un Firewall ZyWall USG 200 che ha la funzione di Gateway per LAN della sede centrale.
All'interno della LAN abbiamo un Server DHCP e DNS,
Col firewall abbiamo creato una DMZ sulla quale sono localizzati il server db, sito e posta e il server della videosorveglianza.
Sull'altra ADSL che chiamerò LAN VOCE abbiamo il centralino con tutti gli annessi e connessi.
In tutte le filiali abbiamo almeno un IP Statico e una ADSL e ci abbiamo messo degli Zyxel 662H-D1.
Il mio problema è questo.
Ho creato con successo la VPN tra la LAN DATI ( con lo ZyWall) e una delle sedi ( con il 662) che chiamerò sede A.
Non mi riesce di creare il tunnel tra due Zyxel 662. Infatti per la telefonia devo creare una VPN tra i telefoni della sede A e la LAN VOCE.
Ora vi narro la sequenza delle cose che sono successe.
Ho creato il tunnel con successo tra LAN DATI e Sede A.
Ho tentato di creare il tunnel tra LAN VOCE e la Sede A ( quindi sulla stessa LAN)
il tunnel si è creato, ma non hoa vuto tempo di testalro perché è caudto e non mi è più risucito rialzarlo.
Due giorni fa per altri motivi il mio collega disattiva la VPN sullo ZyWall.
Magicamente la mattina dopo quando entro a lvoro trovo la VPN tra la LAN VOCE e la Sede A attiva!
Provo a riattivare la VPN sullo Zywall ma mi va in timeout e non me la attiva.
Provo a modificare la VPN tra la LAN VOCE e la sede A cercando di fare una VPN tra la LAN VOCE e un range di IP sui quali verranno messi i telefoni VoIP.
Sull'altra VPN faccio la cosa complementare cercando di creare la VPN tra la LAN DATI e un range di IP sui quali saranno i computer.
Per fare questo dopo numerosi tentativi in cui entrambi i tunnel non si creano, mi tocca spianare tutte le configurazioni. Dopo aver fatto ciò il tunnel tra la LAN DATI e il range di IP riservati ai pc della Sede A si tira su e funziona, mentra la VPN tra LAN VOCE e il range di IP riservato ai telefoni non ne vuol sapere di venire su

Ora vi posto gli screen di configurazione della VPN tra LAN VOCE e Sede A che non funziona.

schermata del router della Sede A
[IMG][/IMG]

schermata del router della LAN VOCE


impostazioni VPN su Sede A


impostazioni VPN su LAN VOCE


Se manca qualceh info fatemi sapere.

Scusate il poema. ringrazierò anche solo chi leggerà fino in fondo il post
    Rispondi Citando Rispondi
Thursday, 16 October 2008, 10:27
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 51
 Messaggi: 27,691

Leggere ho letto ma qui c' e' da fare un disegnino perche' con la sola descrizione siamo ostaggi delle caratteristiche di configurazione degli apparati.

Avrei bisogno di capirlo per punti e linee (e soprattutto porte )
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Commenti a questo messaggio
  RomeoKnight: quant pesa il gatto?
Thursday, 16 October 2008, 10:31
RomeoKnight
 Militante
 
L'avatar di  RomeoKnight
 
 Messaggi: 4,918

Dai un occhio qua.
Quello che vuoi fare si "può" fare solo in modo limitato (con l'hw che hai), almeno questo è quello che ho capito, non avendo apparecchi zyxel.
__________________

Musica matrimonio? Trovata! La migliore Musica per Matrimonio nelle province di Varese, Milano e Novara!

Hic sunt dracones
    Rispondi Citando Rispondi
Thursday, 16 October 2008, 10:48
cyberfido
 Utente Saltuario
 
 Messaggi: 30

provo a postarti tra un po' il disegno.
ma vuoi il disegno dell'architettura di rete con le vpn evidenziate?
quali porte ti interessano?
tieni conto che ho disattivato i firewall dei router per levarmi una preoccupazione nelle fasi iniziali.

fammi sapere che lo preparo.
    Rispondi Citando Rispondi
Thursday, 16 October 2008, 11:55
cyberfido
 Utente Saltuario
 
 Messaggi: 30

@ Duilio
questo schema orribile che spero risponda alle tue richieste rappresenta la rete aziendale


l'unica cosa semmai che volevo capire era di quali porte volevi essere messo a conoscenza.

grazie della disponibilità

@ RomeoKnight
grazie per il suggerimento, ma non è il mio caso non ho bisogno di creare dal solito zywall più tunnel verso lo stesso secure gateway.
creo due tunnel da due origini diverse verso lo stesso secure gateway.
ma penso che il la questione alle origini non gli tanga più di tanto (le due origini sono la LAN DATI e la LAN VOCE della Sede Centrale).


grazie ancora
    Rispondi Citando Rispondi
Thursday, 16 October 2008, 12:47
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 51
 Messaggi: 27,691

due tunnel, due porte sul router di LAN A

se la vpn secondo questo router ha una porta fissa, chi primo arriva meglio alloggia.

Sempre premesso che ti parlo di funzionalita' astratte di vpn, nel caso reale dello zyxel sta a te trovare il parallelo tra grammatica e pratica.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Commenti a questo messaggio
  cyberfido: Grazie, molto utile
Thursday, 16 October 2008, 13:01
cyberfido
 Utente Saltuario
 
 Messaggi: 30

capisco...lavoro in questo senso e ti faccio sapere.

ma i servizi hanno quelle porte per forza...come faccio per cambiarle?

lavoro di nat?
    Rispondi Citando Rispondi
Thursday, 16 October 2008, 13:43
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 51
 Messaggi: 27,691

Un servizio, quando aperto, ascolta su una porta ben specificata, che sia TCP o che sia UDP alla fine la combinazione protocollo+porta e' sempre univoco.

Non puoi usare la stessa coppia.

Prima di tutto c' e' da capire il lato server qual e'.
Se e' il lato LAN A o il lato sede centrale.

Dalla parte server devi esporre due coppie porta-protocollo diverse.
Nel senso che puo' essere la stessa porta ma tcp in un caso e udp nell'altro, oppure pari protocollo e porta numerica diversa.

Ogni coppia, un server.

Io ho assunto che fossero lato LAN A, potrei avere capito il contrario, non prenderlo per oro colato e verifica.

Il client deve essere configurabile per andare a cercare la porta che hai impostato. Una delle due ovviamente sara' non standard.

Nel caso il client non sia configurabile ecco che puoi farti aiutare dal nat.
Avendo piu' IP pubblici puoi fare un forwarding della stessa coppia porta-protocollo di due indirizzi pubblici diversi sullo stesso ip privato (del router) cambiano destinazione ad una delle due porte.

In questo caso tiri in ballo il nat ma due servizi sulla stessa macchina' fanno sempre due porte.

Sinceramente ignoro come, caricando due ip diversi sulla stessa interfaccia, si possano poi attribuire separatamente le porte di due servizi distinti con quell' applicazione vpn.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 17 October 2008, 08:47
cyberfido
 Utente Saltuario
 
 Messaggi: 30

ci ho rilfettuto un po' e sinceramente non ho ben capito il perhcè se ho un router con la possibilità di fare 20 VPN devo cambiare le porte di ogni VPN.
E' vero che la porta è quella per un servizio, ma non mi sembra che non possa servire più tunnel contemporaneamente in fondo sono sempre pacchetto con un identificativo ben determinato.
Questo si aggiunge al fatto che su questi router non esiste nulla per farmi modificare le porte in tal senso.
Sono fermo al palo.Posso condividere la teoria che una VPN taglia fuori l'altra, ma non ne capisco il perché dato che ho due router che devono supportare 20 tunnel VPN diversi.

Approfondiamo se volete, io non so che pesci prendere.

grazie per ora
    Rispondi Citando Rispondi
Friday, 17 October 2008, 09:02
SataNik
 Raffaele Fazio
 Staff
 
L'avatar di  SataNik
 
 Località: Serrastretta (CZ)
 Messaggi: 10,627

Ciao Cyberfido, scusami ma ho avuto poco tempo per leggere e forse quello che scrivo e' una cazzata, ma dal disegno fatto a mano con sede centrale e N sedi, vedo che ci sono 2 router dedicati sulla sede centrale, uno per voce e uno per dati, mentre dalla sede A tu hai un solo router, dal quale vorresti tenere attivi due tunnel verso i 2 router della centrale. E' cosi' ?
__________________
"Se il risultato conferma le ipotesi, allora hai appena fatto una misura, se il risultato è contrario alle ipotesi, allora hai fatto una scoperta."
    Rispondi Citando Rispondi
Friday, 17 October 2008, 09:19
SataNik
 Raffaele Fazio
 Staff
 
L'avatar di  SataNik
 
 Località: Serrastretta (CZ)
 Messaggi: 10,627

Ho dato uno sguardo veloce alla guida utente, quindi prendilo con le pinze, ma mi pare di capire che il router 662 e' in grado di creare 20 tunnel verso un Secure Gateway (quindi 20 connessioni come client tanto per intenderci).
Quindi ad occhio e croce, mi sa che non e' fattibile la cosa che vuoi fare tu.
__________________
"Se il risultato conferma le ipotesi, allora hai appena fatto una misura, se il risultato è contrario alle ipotesi, allora hai fatto una scoperta."
    Rispondi Citando Rispondi
Friday, 17 October 2008, 09:19
cyberfido
 Utente Saltuario
 
 Messaggi: 30

si è così.
nello sviluppo futuro però anche il router della adsl voce dovrà tenere un tunnel con ogni sede, per cui penso che il problema si ripresenterà anche da suo lato in futuro.
hai idee?
    Rispondi Citando Rispondi
Friday, 17 October 2008, 09:21
cyberfido
 Utente Saltuario
 
 Messaggi: 30

non capisco cosa cambi. dato che le configurazioni tra due router sono a specchio.
chi è il client e chi è il server?
secondo me non c'è questa distinzione
    Rispondi Citando Rispondi
Friday, 17 October 2008, 09:21
SataNik
 Raffaele Fazio
 Staff
 
L'avatar di  SataNik
 
 Località: Serrastretta (CZ)
 Messaggi: 10,627

Se e' confermato quanto ho letto sulla guida (verifica), l'unica soluzione e' mettere un altro zywall sulla LAN voce della sede centrale, e farlo diventare un secure gateway.
In quel caso, dovrebbe funzionare la configurazione che vuoi fare tu lasciando che i 662 creino ognuno 2 vpn verso la sede centrale (voce+dati).
Chissa'
__________________
"Se il risultato conferma le ipotesi, allora hai appena fatto una misura, se il risultato è contrario alle ipotesi, allora hai fatto una scoperta."
    Rispondi Citando Rispondi
Friday, 17 October 2008, 09:33
cyberfido
 Utente Saltuario
 
 Messaggi: 30

si ho capito il discorso.
però se io faccio una vpn tra due 662, chi è il server e chi il client?
in questo caso non riesco ad applicare questo discorso.
inoltre se guardi le schermate che ho postato il Secure gateway sono ogni router per l'altro.

non lo so, ma questi sono i miei dubbi in merito.
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
Pocket, RomeoKnight, Duilio, Carson, JoeBar, S71ng, paopao, bobbleit, ale82x, Neles, TW, cyberfido, Slepland, Francesco12
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo

Se hai problemi, contattaci


Visite Totali Posts: 41.931.117
Tutti gli Orari sono GMT +1. Attualmente sono le 13:44.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group