VPN e indirizzi dinamici

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Mi sono trovato nella necessità di stabilire una connessione VPN tra una sede ed un ufficio distaccato. Ho a disposizione due firewall Zyxel ZyWall 5 e ZyWall 10 (quest’ultimo fuori produzione).
Questi due ottimi prodotti sono in grado di funzionare come endpoint di una VPN IPSec; è una soluzione che ho già usato in passato ed è molto comoda per facilità di configurazione, sicurezza e completa trasparenza dal lato LAN.
Questa volta però sono scettico: l’ufficio periferico non ha un IP fisso, e non lo può avere in tempi ragionevoli. La documentazione dice che la configurazione è supportata, ma sento puzza di bruciato; decido di fare comunque un tentativo.
Dopo tre tentativi e un paio di upgrade di entrambi i firmware, devo ricredermi: funziona!
Naturalmente la connessione può essere iniziata solo dal lato dell’IP dinamico, ma una volta stabilita, le due reti si vedono perfettamente, ed in modo bidirezionale.
Il segreto è lasciare a 0.0.0.0 la definizione della rete remota sull’endpoint provvisto di IP fisso.

72 pensieri riguardo “VPN e indirizzi dinamici

  1. Suppongo che hai messo lo Zywall10 sull’indirizzo fisso e lo Zywall5 sul dinamico, vero? E che le due reti interne hanno indirizzi di rete diversi, tipo 192.168.0.0/24 e 192.168.1.0/24?

  2. Gaspar: viceversa. In sede, IP fisso, c’ ZyWall 5. A dispetto del nome il 5 moooolto superiore al 10. Le due reti hanno classi diverse, naturalmente. Non vedo il motivo di impelagarsi nel subnetting quando non c’ n’ bisogno. 😀

  3. funziona bene anche con due ip dinamici, appoggiandosi a dyndns (purtroppo solo a questo)
    gli zywall attuali hanno quasi tutti (sicuramente si ZyWall 5 e 35) la possibilit di impostare un dns dinamico.
    Con questa gabola si riesce anche a creare un tunnel vpn tra due end point fastweb residenziali.
    Non funziona se il contratto business, in quanto il router cisco che installano non permette di popolare con l’indirizzo ip corretto il dns.
    Ovviamente va abilitato NAT traversal, i router devono essere trasparenti all’ipsec ecc. ma ste cose me le hai insegnate tu 😛

    ps: OT piaciuti gli afterhours?

  4. dovrei creare una vpn(??) per accedere da un pc remoto al router(netgear dg834g) a cui e’ collegato il mio pc (modalita wireless) ed un hard disk esterno collegato tramite lan……
    Non ho idea sull’impostazione dei vari ip …..mi puoi aiutare….grazie!!!

  5. dopo 2 nottate sono riuscito a configurare uno zwall5 (ip statico) e un prestige 652h (ip dinamico) in tunnelling vpn … e funziona (nel senso che vedo la VPN attiva sui router).
    Il bello è però che non riesco a raggingere i PC della rete remota !! (nemmeno li pingo)
    Ho abilitato netbios su VPN su entrambi i router ma niente..

    L’Ip statico è su Fastweb business mentre il dinamico ‘ su alice..

    Sarei grato a chi mi desse una mano !!!

  6. ciao, forse qualcuno mi puo’ aiutare.
    ho un ip fisso , ma chiamandolo mi risponde la pagina di configuarazione del router zyxel 660 prestige , mentre io vorrei avere accesso diretto al server che e’ sulla rete del zyxel
    come posso fare?
    ormai le ho provate tutte !!
    grazie
    clo

  7. per claudio: beh devi fare un nat e aprire la porta nel firewall. se vuoi mantenere il pannello di gestione abilitato sulla wan (pazzo!) cambia la porta sulla quale si mette in ascolto e aprila nel firewall

  8. Io devo fare una VPN tra due uffici, entrambi con un ip pubblico statico.
    Il problema e’ ke il modem pirelli smart gate nn mi fa impostare il nat, e ovviamente, nemmeno il virtual server.
    Il tecnico telecom mi ha detto che devo richiedere degli ip pubblici aggiuntivi…e’ vero?
    Tieni conto che dietro al modem uso un firewall netgear fvs114.

  9. Ciao Andrea,
    Secondo te è possibile instaurare una VPN_PPTP tra telefono-palmare (TIM)ed un pc casalingo che si collega tramite Tin.it -adsl-modem ethernet Ericsson- ??
    Dopo essermi autenticato con successo ,il ping funziona ma non posso sfogliare le risorse del pc casalingo ,anche se non è attivo alcun firewall ed antivirus.
    La VPN in locale funziona però !!!!(in wireless -ad hoc-)
    grazie,se puoi rispondimi!!!
    Giuseppe

  10. anche io avrei un problemino con la vpn….

    ho una sede con ip dinamico, ho creato il ddns e viene aggiornato correttamente su un dns del tipo “pippo.ath.cx”. Come modem/router/gateway c’è uno zyxel P-661H-D1 . Tutto quello che c’è è sulla 192.168.1.xxx senza nessuna configurazione particolare, tranne un access point con dhcp.

    l’altra sede, ha 5 ip statici. Tutta la rete è sulla sottorete 192.168.0.xxx e come router/modem/gateway c’è uno zyxel 652H/HW-31 . qui la faccenda è un pochino più complessa, perchè ho una configurazione NAT in “full feature”, con 3 ip statici, nattati 1-1 con relativi ip locali. Poi c’è la regola NAT per tutto il resto della rete ( range locale 192.168.0.0 – 192.168.0.255 nattato su ip ppp della connessione adsl). In più, ci sono altre 5 connessioni VPN attive con altre sedi, sulle sottoreti 10.x.x.x, ma queste funzionano correttamente.

    Quello che dovrei fare io, è “mappare” attraverso la vpn, un singolo ip della prima rete, all’interno della seconda. La cosa non deve essere reciproca…. la prima rete serve soltanto a mettere a disposizione della seconda rete, una NAS per disaster recovery distribuito, non deve fare null’altro.

    Il problema è che, nonostante il DDNS, la connessione VPN non ne vuole sapere…. Ance provando a pingare, la connessione non va su, e non compare nemmeno niente nei log dei due router.
    Uff. Aiuto…..

  11. volevo se è possibile un aiuto di questo genere:
    mi trovo con reti ipdinamici con router e vorrei conoscendo l’ip dinamico (non viene spento mai il router) collegare due reti a distanza con eventuali condivioni di file o altro.
    puoi aiutarli ti ringrazio
    Giovanni

  12. Ciao a tutti mi trovo a risolvere una situazione che mi sta facendo abbastanza arrabbiare.
    Ho due FW/VPN Zywall 2 Plus con i quali collegare (logicamente) due reti LAN tra loro.
    il problema sussiste nell afase dopo l’autenticazione della VPN.
    Infatti pur tirando su il Tunnel, non riesco a pingare le macchine di una delle due reti.
    Il bello e che sono speculari come configurazione, ma da una prate pingo l’unico pc presente senz aalcun problema, mentre dall’altra arrivo alla porta lan del FW e niente più..
    Attenzione che nelle regole del fw ho impostato tutti i servizi tra le lan (tant’è che sul pc con cui ci si connette funziona senza problemi l’accesso al desktop remoto).
    mi è stato detto che quello che voglio fare io (quindi far vedere le due LAN tra loro) non è possibile col modello Zywall 2 Plus ma solo con quelli superiori (qualcuno mi da conferma di questo??).
    Infine secondo voi cosa può essere che mi disturba e non fa funzionare il tunnel tra le due LAN? (pur essendo attivo e confermato dal monitor..), l’unico aiuto è che ho una piccola differenza di firmware tra i due (tipo 4.05 e 4.06, ora non mi ricordo bene)
    Ringrazio tutti coloro che possono darmi una mano e a proposito.. Grande Andrea 🙂
    Ciao max

  13. Ciao, ho visto quanto scrivi nel tuo blog e quanto sia utile la pubblicazione dei tutorial: ti faccio i complimenti.

    Ho trovato il tuo bolg cercando come argomento su un motore di ricerca la parola VPN configurazione; vengo al dunque chiedendoti aiuto.

    Lavoro presso un’azienda che utilizza un accesso tramite VPN per scaricare la posta lontano dall’ufficio. Vorrei farlo attraverso un palmare PALM Treo 680 e software di connessione VPN Mergic VPN 1.1 . Inseriti tutti i parametri richiesti dal softw quando inizia a creare il tunnel di connessione, non riesce a connettersi dicendomi quanto segue: ‘Error: no server config response, possible firewall or NAT block (0x870E)’

    Chiesto all’interno del mio ufficio IT ma loro dicono che non è un problema di VPN azindale ma di provider. Utilizzo come connessione TIM con una scheda telefonica aziendale.

    Riesci a capire cosa succede ?
    Spero tu mi possa aiutare.

    Ciao e grazie
    Salvatore

  14. Ciao, ho visto sul blog che si parla spesso di zyxel e vpn forse qualcuno puo’ aiutarmi
    zywall 5 da una parte con ip statico pubblico su rete fastweb sulla quale ci sono montati siti web funzionanti e raggiungibili, sede remota con zyxel prestige P-661HW-D1 con ip statico di telecom , non riesco assolutamente a creare una vpn tra loro, il problema è che essendo la prima volta non so se la configurazione sbagliata e’ del prestige o del zywall!

  15. Roberto nel lontano 27/06/2005 alle 17:40, scrive:

    “…funziona bene anche con due ip dinamici, appoggiandosi a dyndns (purtroppo solo a questo)
    gli zywall attuali hanno quasi tutti (sicuramente si ZyWall 5 e 35) la possibilit� di impostare un dns dinamico.
    Con questa gabola si riesce anche a creare un tunnel vpn tra due end point fastweb residenziali.
    Non funziona se il contratto � business, in quanto il router cisco che installano non permette di popolare con l’indirizzo ip corretto il dns.
    Ovviamente va abilitato NAT traversal, i router devono essere trasparenti all’ipsec ecc. ma ste cose me le hai insegnate tu….”

    premettendo che non capisco un “H” di tutto ciò, mi piacerebbe avere una conferma: si può fare una VPN anche con due IP dinamici??!!!
    Lo chiedo perchè il tecnico che si occupa della gestione del “mio ufficio” ha voluto a tutti i costi acquisire un IP statico in sede, e ho dovuto aspettare 6 mesi per averlo!!!!!!

    P.S. ho un contratto business….

  16. Ciao a tutti. Avrei da sottoporre pure io una domanda, ma più puramente di carattere commerciale.
    Nella sede principale dell’azienda per cui lavoro eiste un router zyxel 652, che funziona splendidamente. Ora ho la necessità di collegare via vpn tre filiali. Tutti gli uffici, compresa la sede, hanno una linea adsl a banda larga con indirizzo ip statico.
    Questa è la mia domanda: Con 3 zyxel prestige 660hw-d (router, switch, firewall, con supporto wireless) riesco a collegare le 3 filiali via vpn alla sede?
    Se si dove posso reperire delle informazioni sulla configurazione?
    grazie
    alessio

  17. Ciao Andrea, visto che hai esperienza di Zywall ti pongo un piccolo quesito. La rete di un mio cliente necessita di una connettiva’ Internet, e di un VPN realizzato da Telecom tramite un punto-punto sulla rete remota di una grande azienda. Attualmente viene utilizzato un PC che fa da proxy tra le due reti. Dovendo installare un Router Zywall 5 UTM sulla connettivita’ Internet, ai fini della sicurezza della rete, mi chiedevo se tale firewall permetesse di evitare l’utilizzo del PC come proxy. La classe di indirizzi potrebbe essere diversa o uguale, in quest’ultimo caso l’istradamento verso il VPN avrebbe DNS e gateway con indirizzi diversi rispetto al router Internet. Cosa ne pensi ?

    Dario

  18. Devo connettere via tunnel VPN IPsec LAN-to-LAN due presidi di un’azienda. Il problema è il router Pirelli fornito con Alice business, purtoppo gia presente su uno dei due siti. Chiedo se qualcuno ha richiesto gli 8 ip aggiuntivi ed è poi riuscito ad attivare il tunnel ponendo a valle un dispositivo VPN (Io solitamente uso un Mikrotik). Se richiedo al cliente il pacchetto aggiuntivo a 8 euro al mese e poi non funziona mi spela il sedere!

  19. ciao andrea scusa la mia ignoranza in materia ma vorrei sapere dove sbaglio.dunque ho un router zyxel 660 hw ho collegato un altro pc con cavo ethernet ad una presa del router, tutto funziona bene tutti e 2 i pc si possono collegare in internet, ho installato la rete ma facendo il ping, il mio pc lo vede, ma l’ altro no.devo dire che il cavo
    che ho comperato è di tipo dritto (cosi mi hanno consigliato)gli ip sono diversi il gruppo è uguale.non posso utilizzare la wifi perche ho i muri troppo spessi e non passa il segnale il cavo invece l’ ho passato subito etutto funziona ma non la rete .Pechè? grazie per l’ attenzione

  20. Ciao Andrea, a proposito di Zywall 5…ne ho appena acquistato uno da piazzare da un mio cliente con la seguente esigenza: hanno un contratto adsl con colt con router in comodato (non configurabile e non nattabile)e vorrebbero potersi loggare alla rete da remoto. Il router ha ip statico (per es. 80.80.80.80), la LAN è 10.0.0.x. Sapresti indicarmi come devo configurare lo zywall? ho provato da me ma non riesco neanche a pingare il router…
    cosa devo mettere in LAN e in WAN? grazie in anticipo per l’aiuto

  21. Ciao Andrea,
    ho router 660 che ribalta tutte le porte su ZyWall 5, mi collego in vpn (software Zyxel) pingo le macchine ma non riesco a sfgliare la rete con Risorse di rete pur ricevendo Ip da DHCP e con DNS interni.
    Perchè non ci riesco?
    All’interno ho SBS2K3 e STD2K3R2 ma non so come fare x autenticarmi.

    Grazie
    Ciao

  22. Avrei bisogno di un aiuto. Sto da più di una settimana settando due Netgear FVS114 collegati a 2 rispettivi router Allied Telesyn Ar240, con internet Telecom con 1 IP fisso per sede. Con i Wizard del Netgear, riesco a stabilire la connessione, ma i pc delle rispettive sedi non si vedono. i parametri sono i seguenti. SEDE A lan 192.168.a.xx, FW 192.168.a.1,FW pubblico 192.168.b.2, IP router lan 192.168.b.1 , IP router pubblico 82.x.x.x.
    SEDE B lan 192.168.c.xx, fw 192.168.c.1, FW pubblico 192.168.d.2, ip router lato lan 192.168.d.1 ,ip router pubblico 81.x.x.x. Entrambi i router sono settati per il NAT interno ,e null’altro. Cosa ho dimenticato? Per favore aiutatemi a risolvre, sto impazzendo. Grazie
    Gianluca

  23. Ciao Andrea,
    vista al tua conoscenza degli ZyWALL 5 provo a chiederti aiuto. Ho 2 ZyWALL 5 con i quali devo collegare 2 sedi di un’azienda. Visto che è la prima volta che provo a fare una vpn li sto testando in laboratorio da me, collegandoli a 2 linee adsl distinte. Ho impostato i due apparati in modalità Bridge ed ho eseguito i wizard per creare la vpn. Il problema è che la vpn non va, non si vede traccia di connessione nemmeno nei log, mentre se provo ad accedere ad uno dei due apparati tramite un client vpn, nel log vedo che il tentativo di connessione viene accettato dal firewall, ma poi il client vpn mi dice che non riesce a connettersi. Gli ZyWALL stanno dietro ad un Siemens Santis 50(ADSL) e un Linksys AG241(ADSL2) e gli indirizzi sono impostati in DMZ. Spero di essere stato abbastanza chiaro.

    Grazie in anticipo 🙂
    Gianluca

  24. Sto provando a fare come mi hai detto, ma continua a non andare. Potresti dirmi quali porte devo nattare sui router per fare in modo che la vpn funzioni?

  25. Ciao andrea, continuo a fare prove, ma niente da fare. Se possono essere utili pubblico i log di uno dei due ZyWALL. Qui c’è un’immagine di quello che succede quando provo a pingare un host della lan remota: http://www.evoluzioneufficio.com/logs.jpg
    Durante tutto questo, il log dell’altro apparato non registra niente… è normale?
    Grazie

  26. Salve a tutti e ciao a te Andrea! Mi sto scervelando per una vpn tra una scheda wireless 3 (e quindi ip dinamico) e la sede!

    Sarà fattibile? 🙁

  27. ciao a tutti avrei bisogno di un aiuto x creare una vpn tra il mio ufficio e la sede centrale. Premetto in sede ce un indirizzo ip statico, firewall firebox watchguar, router cisco 1700, linea fastweb HDSL sincrona. Il mio ufficio indirizzo ip dinamico, router firewall zyxel P-661HW e linea adsl (alice). Potete darmi alcune nozioni di base sulle vpn? Potete aiutarmi. Grazie.

  28. Una questione in merito alle porte da nattare staticamente tra il router ed il firewall: tutte le VPN usano le stesse porte, oppure variano da apparato ad apparato. Nel caso di Zyxel non sono riuscito a trovare le porte TCP/ip e udp che vengono usate per instaurare la VPn. Il problema al momento, l’ho risolto, facendo nattare tutte le porte, ma mi sembra eccessivo dal lato della sicurezza (per quanto resti pur sempre il firewall tra la Lan ed internet).

    Grazie a chi saprà rispondermi

  29. Scusatemi, ma sono un principiante del mondo reti/wireless.
    Nel mio condominio abbiamo montato, tramite un provider, una antenna wifi che comunica con il loro server per fornirci un primo abbozzo di banda larga. Dall’antenna centralizzata sul tetto arriva in casa mia un cavo di rete, e di fatto comunichiamo con una VPN (il provider mi ha dato un IP e una username/password per la connessione).
    Se connetto il cavo di rete sul portatile ed effettuo la connessione, tutto ok: ma dal momento che il computer fisso è dall’altra parte della casa ho pensato bene di comprare un access point wireless per non passare cavi per casa. Il problema è che non riesco a configurare correttamente l’access point (è un canyon wf-514). La scheda di rete wifi del fisso ottiene un ip e vede l’accesspoint, ma al momneto di connettersi dà errore 800 o 619 (la porta non è aperta o qualcosa di simile)
    Potreste cortesemente aiutarmi?

  30. Ciao a tutti
    E’ da diversi giorni che sto provando a creare una VPN fra un portatile con IP dinamico con software Netgear Pro Save Vpn Client ed un router Netgear FVS114 con IP fisso.
    Per quanto ci provi non ci riesco.
    Qualcuno può aiutarmi?
    Nella IKe policy del Router in “Fully Qualified Domain Name ” sia Local che Remoto cosa devo scrivere?
    Grazie

  31. Ciao Andrea,
    Ho creato una vpn tra una sede centrale e 3 diverse filiali. Nella centrale ho installato uno zywall5 e nelle filiali zywall2. Tutto funzionava correttamente finchè non mi si è bruciato il z5, l’ho sostituito ho riconfigurato le vpn che vanno in piedi, ma non riesco più a stampare, quando seleziono la stampante sta li ore e non esce nulla. Mi sono scordato qualcosa? Mi puoi aiutare?

  32. Ciao Andrea
    Hey complimenti per questo blog!!!
    non ho letto tutto ma volevo intanto chiederti un consiglio.
    Ho un ufficio con piu di 15 postazioni internet alcune delle quali utilizzano anche peer2peer. attualmente ho una connessione adsl con un semplice provider ma sono in attesa di fastweb 4mb up/down. (prenderò un ip statico a 15€ mese)
    Vorrei comprare un firewall e pensavo un Zywall 5 UTM.
    Che dici va bene o ci sta di meglio???
    e poi quando verranno i tecnici di fastweb lascerò tutte le porte aperte del router che installeranno?
    Per il menu di configurazione è abbastanza user-freindly??
    Considera che avrò anche una ADSL di backup sempre collegata al firewall.

    Grazie e scusami di tutti questi consigli.

  33. Salve a tutti ho un zyxel 660H e vorrei abilitare il DHCP ma allo stesso tempo impostare gli IP statici su due macchine Win in modo da poter collegare notbook vari senza configurare scheda di rete e mantenere i pc fissi con impostazione data da me. Come faccio?

  34. Ciao a tutti e complimenti per il blog…Sono alla mia prima configurazione di firewall ZyWall 5…Dovrei metterlo davanti ad una rete interna aziendale. Sono alle prime armi, e non so nemmeno da dove cominciare. Ho 4 indirizzi pubblici, penso servano…giusto ? La rete in questione è composta da 15 pc, tutti con il proprio indirizzo privato. Sapete come aiutarmi ? C’è qualche guida o qualcosa ? Grazie.

    Teo 🙂

  35. Ciao a tutti, finalmente sono riuscito a far funzionare la vpn…quasi…. In realtà avrei ancora un problemino Le due reti si vedono perfettamente, ma riesco ad inviare i file solo in un verso. Questo è lo schema dell’impianto:
    Lan1ZyWall5Router Alice BusinessRouter DlinkZyWall5Lan2
    Se provo ad inviare un file da un qualsiasi pc della Lan1 ad un qualsiasi pc della Lan2, tutto funziona alla grande(su vede la finestrella con la progress bar che indica il tempo restante e il file viene copiato perfettamente).
    Se, invece, provo ad inviare un file da un qualsiasi pc della Lan2 ad un qualsiasi pc della Lan1 succede il casino. Non compare la progress bar, explorer si inchioda per qualche secondo e il file viene copiato delle stesse dimensioni dell’originale, ma è corrotto. Qualcuno sa dirmi da cosa potrebbe dipendere?
    Grazie 1000

  36. Mi sono accorto ora che lo schema non è venuto bene, provo a rifarlo:
    Lan1—ZyWall5—Router Alice Business—WWW—Router Dlink—ZyWall5—Lan2

  37. ciao a tutti, qualcuno sa aiutarmi con al configurazione della seguente VPN, premetto che ho già fatto molte VPN con IP statici e firewall di buona qualità(Zywall da ambo i lati) senza problemi, ma questa volta ho da un capo uno Zywall 70 UTM con ip pubblico statico e dall’altro un modemrouter/firewall netgear DG834GT con ip pubblico dinamico, e non riesco a far accettare allo zywall la config per VPN verso dynamic secure gateway IP…….
    qualcuno mi sa aiutare? sapete dove potrei reperire un how to?? grazie ciao a tutti

  38. per Matteo:

    i 4 Ip pubblici (subnet) servono soprattutto se devi fare una VPN in quanto tenendo conto che il primo e l’ultimo non sono mai utilizzabili (rete e broadcast) te ne rimangono 2 da usare uno sullo Zywall su porta WAN (il terzo per l’esattezza) e l’altro (il secondo) come gateway (nel caso di fastweb il router Cisco che ti danno loro). Poi all’altro endpoint andrai a fare la stessa cosa. Se invece devi solo proteggere la LAN non ti servono tanti IP pubblici, ne basta uno. Ogni PC della LAN dovrà avere come default gateway l’indirizzo IP LAN dello Zywall (nella stessa sottorete ovviamente) e poi ci pensa lui a nattare e instradare. Ricordati i DNS da mettere nei PC oppure li metti nello zywall e nei PC metti l’indirizzo del gateway anche come DNS.

  39. Spero che sia di aiuto a chi vuole affrontare questo problema …
    sapendo che la soluzione c’è……

    Documento VPN Fastweb (ip pubblico) Alice (ip dinamico) con Zyxel

    Scenario

    PC1 — Zywall 5 — Router Fastweb — Internet — Alice —–P-661HW-
    D1 – PC2

    Nel dettaglio
    PC1 125.1.1.67
    Zywall 5:125.1.1.201 (Bridge mode) mappato ip pub 89.96.111.0
    Router Fastweb:125.1.1.240 con 4 ip pub uno dedicato al Zywall 5
    P-661HW-D1:172.16.3.1 con Dyndns su miodominio.dyndns.org
    PC2 172.16.3.201

    P-661HW-D1: ZyNOS Firmware Version: V3.40(AHQ.0) | 05/01/2006
    ZyWall 5: ZyNOS version: V4.01(XD.1) | 09/04/2006

    Per configurazioni lato Fastweb
    – Regola firewall WAN to WAN/Zyxel
    Permit Source ANY Dest ANY IPSEC_TUNNEL(ESP:0)
    Permit Source ANY Dest ANY IKE(UDP:500)
    Configurazione Bridge (DNS)
    Configurare First DNS 213.140.2.12
    Configurare Second DNS 213.140.2.21

    Per configurazioni lato Alice ADSL
    – Regola firewall WAN to WAN/Router
    – Permit Source ANY Dest ANY IPSEC_TUNNEL(ESP:0)
    – Permit Source ANY Dest ANY IKE(UDP:500)
    DynDNS
    – Registrare un account miodominio.dyndns.org e attivarlo nel menu
    Dynamic DNS (Use WAN IP Address)

    Sede FASTWEB con Firewall Zywall 5

    Modalità Bridge (non richiede l’intervento di fastweb al momento
    dell’installazione, gestisce in modo trasparente tutti i pacchetti
    diretti al GW di Fastweb)

    Step 1 Chiedere a Fastweb di girare il traffico dell’IP pubblico
    sull’indirizzo di gesione del firewall, oppure assegnare al firewall
    l’indirizzo ip nattato sul relativo ip pubblico.

    Step 2 configurare la VPN

    Metto le configurazione in formato testo per comodità

    ras> ipsec ipsecEdit 2
    ras> ipsec ipsecDisplay
    ———- IPSec Setup ———-
    Index #= 2 Active= Yes Multi Pro = No Protocol= 0 Global SW=
    0xA
    Bound IKE 2 NailUp = No Netbios = No Name= RA

    ControlPing = No LogControlPing = No Control ping address = 0.0.0.0
    Local: Addr Type= SUBNET Port Start= 0 End= N/A
    IP Addr Start= 125.1.0.0 Mask= 255.255.0.0
    Remote: Addr Type= SUBNET Port Start= 0 End= N/A
    IP Addr Start= 172.16.3.0 Mask= 255.255.255.0
    Enable Replay Detection= No Key Management= IKE
    Phase 2 – Active Protocol= ESP
    Encryption Algorithm= DES Authentication Algorithm= SHA1
    SA Life Time (Seconds)= 28800
    Encapsulation= Tunnel Perfect Forward Secrecy (PFS)= None
    ras>

    ras> ipsec ikeEdit 2
    ras> ipsec ikeDisplay
    ———- IPSec Setup ———-
    Index #= 2 Active= Yes Global SW= 0xA
    NAT traversal= Yes Multi Pro= No Name= MIA VPN
    My IP Addr= 0.0.0.0
    Secure Gateway Addr= miodominio.dyndns.org
    (82.48.20.209 )
    IPSec HA Disabled
    Local ID Type= IP Addr Local ID Content= 125.1.1.201
    Peer ID Type= IP Addr Peer ID Content= 0.0.0.0
    IP Policy Index: 3
    ———- IKE Setup ———-
    Authentication Method: Pre-Shared Key
    Phase 1 – Negotiation Mode= Main
    Authentication= preShareKey
    Key= VERYSECRET
    Encryption Algorithm= DES Authentication Algorithm= MD5
    SA Life Time (Seconds)= 28800 Key Group= DH1

    ras>

    ATTENZIONE il router di Fastweb non fa passare il protocollo Ipsec, se
    non si abilita il NAT T va in piedi il tunnel ma non passa nessun
    pacchetto di trasporto.

    Sede con Alice Telcomitalia P-661HW-D1

    Step 1

    Configurare il dominio miodominio.dyndns.org su ip dinamico attraverso
    il sito http://www.dyndns.org (manage host)
    Riportare la configurazione nel menu Dynamic DNS

    ras> sys ddns display
    DDNS Status
    state = 1, flags = 3
    pauseTime = 86400000, timerID = 6700cb
    startcnt = 1, stopcnt = 0
    retrycnt = 0, eventqcnt = 0
    socketID = -1
    DomainName = miodominio.dyndns.org
    Host Type = dyndns
    Offline Mode = NO
    update IP = 82.48.20.209
    update time = 06:31:00 Sat. Jan. 01, 2000
    retCode = good
    ras>

    ATTENZIONE che gli aggiornamenti dei DNS non sono mai istantanei e
    necessitano qualche minuto per propagarsi. Verificate dalla sede
    remota che il DNS di Fatsweb sia stato aggiornato correttamente con
    l’ip che vedete sull’interfaccia WAN prima di effettuare i test di
    connessione.
    Ogni riavvio del router ADSL cambia l’ip della wan. I primi test li
    ho fatti inserendo a mano IP della WAN nelle configurazioni VPN di
    entrambe le sedi.

    Step 2

    Configurazione VPN

    ras> ipsec load 1
    ras> ipsec display
    NAT traversal= No Name= Milano
    My IP Addr= 0.0.0.0 Secure Gateway Addr= 89.96.111.0
    Local ID Type = IP Addr Local ID Content = 0.0.0.0
    Peer ID Type = IP Addr Peer ID Content = 125.1.1.201
    Local: Addr Type= SUBNET Port Start= 0 End= N/A
    IP Addr Start= 172.16.3.0 Mask= 255.255.255.0
    Remote: Addr Type= SUBNET Port Start= 0 End= N/A
    IP Addr Start= 125.1.0.0 Mask= 255.255.0.0
    Dynamic Local = No Dynamic Remote = No
    DNS Server= 212.216.112.112
    Enable Replay Detection= No Key Management= IKE
    ———- IKE Setup ———-
    Phase 1 – Negotiation Mode= Main
    Authentication= preShareKey
    Key= VERYSECRET
    Encryption Algorithm= DES Authentication Algorithm= MD5
    SA Life Time (Seconds)= 28800 Key Group= DH1
    Phase 2 – Active Protocol= ESP
    Encryption Algorithm= DES Authentication Algorithm= SHA1
    SA Life Time (Seconds)= 28800
    Encapsulation= Tunnel Perfect Forward Secrecy (PFS)= None
    ———- NetBios Setup ———-
    Broadcast Pass Through, Status: Inactive, Group: none
    ras>

    ATTENZIONE nel caso di router ADSL connesso diretto alla rete del
    provider non è necessario abilitare il NAT-T sul lato ADSL.

    Fase di test

    Step 1
    Verificare il vostro ip WAN sia uguale a quello risolto dal DNS di
    Fastweb (chiedete a qualcuno della rete di fastweb di fare un tracert/
    ping di miodominio.dyndns.org)

    Step 2
    Lato ADSL entrate in telnet sul router, inserite la password e al
    prompt eseguite i comandi :
    ras>ipsec debug on (abilita i log)
    ras>ipsec load 1 (carica la prima VPN)
    ras>ipsec dial 1

    Questo è quello che dovrebbe apparire se tutto va bene

    IPSEC debug on
    ras> ipsec dial 1
    Start dialing for tunnel …
    ikeStartNegotiate(): saIndex
    peerIp protocol: (0)
    initiator(): type, exch
    find_ipsec_sa():Not found
    isadb_is_outstanding_req():
    isadb_get_entry_by_addr(): SA not found
    SA not found

    isadb_get_entry_by_addr(): SA not found
    isadb_create_entry(): >> INITIATOR
    catcher(): recv pkt
    get_hdr(): nxt_payload exch(2) m_id len
    isadb_get_entry(): nxt_pyld=, exch=
    Old SA, sa->last_pyld=, hdr.nxt_pyld=
    sa->last_mid=0x0, hdr.m_id=0x0
    sa->last_len=0, hdr.len=128
    catcher(): header ENCR_BIT not set
    get_sa(): DOI( IPSEC DOI = 1) Sit
    get_trans(): num trans_id
    valid_pyld(): valid_pyld — VID(13) done

    LBN task proc event
    genDHParameters(): dh_len=96
    GenRand: A(secret_val) done
    lbnTwoExpMod(): elen=48, mlen=48
    LBN task proc event done

    netcmdInformIKE(): inform NETWORK: LBN completion type
    result
    netexeInformIKE(): NETWORK got LBN completion event
    result

    Everything is OK, resume Main Mode process
    oakley_proc_main_mode(): SA state: OAK_MM_AWAIT_DH_PARAM
    proc(): proc , packet m_id
    proc(): proc , packet m_id
    Initiator starts building KE, NONCE and VID
    build_hdr(): For exch(2), m_id
    build_ke(): done
    build_nonce(): done

    throw_sa(): pktLen
    catcher(): recv pkt
    get_hdr(): nxt_payload exch(2) m_id len
    isadb_get_entry(): nxt_pyld=, exch=
    Old SA, sa->last_pyld=, hdr.nxt_pyld=
    sa->last_mid=0x0, hdr.m_id=0x0
    sa->last_len=128, hdr.len=152
    catcher(): header ENCR_BIT not set
    valid_pyld(): valid_pyld — NONCE(10) done

    valid_pyld(): valid_pyld — None(0) done

    oakley_proc_main_mode(): SA state: OAK_MM_SA_SETUP
    LBN task proc event
    gen DH SharedSecret : dh_len=96
    . lbnExpMod(): nlen=48, elen=48, mlen=48
    LBN task proc event done

    netcmdInformIKE(): inform NETWORK: LBN completion type
    result
    netexeInformIKE(): NETWORK got LBN completion event
    result

    Everything is OK, resume Main Mode process
    oakley_proc_main_mode(): SA state: OAK_MM_AWAIT_DH_SECRET
    proc(): proc , packet m_id
    gen_skeyid():
    sharedSecret done, len:
    SKEYID, SKEYID_d, SKEYID_e, ckey built
    I_DH_pub_val, R_DH_pub_val built
    iv built
    oakley_proc_main_mode(): Initiator starts building ID and AUTH
    catcher(): recv pkt
    get_hdr(): nxt_payload exch(2) m_id len
    isadb_get_entry(): nxt_pyld=, exch=
    Old SA, sa->last_pyld=, hdr.nxt_pyld=
    sa->last_mid=0x0, hdr.m_id=0x0
    sa->last_len=152, hdr.len=92
    catcher(): header ENCR_BIT set, mid=0x0
    decryp_pyld(): len=64 alg, decrypt OK
    valid_pyld(): valid_pyld — HASH(8) done

    valid_pyld(): valid_pyld — NOTFY(11) done

    catcher(): recv pkt
    get_hdr(): nxt_payload exch(32) m_id len
    isadb_get_entry(): nxt_pyld=, exch=
    Old SA, sa->last_pyld=, hdr.nxt_pyld=
    sa->last_mid=0x0, hdr.m_id=0x495B930C
    sa->last_len=92, hdr.len=156
    catcher(): header ENCR_BIT set, mid=0x495B930C
    decryp_pyld(): len=128 alg, decrypt OK
    valid_pyld(): valid_pyld — SA(1) done

    get_sa(): DOI( IPSEC DOI = 1) Sit

    Tunnel built successfully!!!

    Step 3

    Verificare che passi il ping

    ras> ipsec debug on
    IPSEC debug on

    ******************************************
    ****** PING dal 172.16.3.201 al 125.1.1.67
    ******************************************

    ras> find_ipsec_sa_by_spi(): spi = 0x3838E6BD, other_spi =
    0xAB3907BB
    find IPSec SA index
    type!
    assigned sa->saLife.sa_life_end = 42787 from secclock() =
    14288
    sa->phase2_num = 1

    sa-> saIndex =
    sa->sa_life_type =
    sa->sa_life_end = 42789 new clock ==
    14288
    del =
    sa-> saIndex =
    sa->sa_life_type =
    Found matched rule! the trigger packet is:
    s
    125.1.1.67
    protocol=1
    ipsecOutSpdExec(): SPD found, place
    saIndex
    IPSec found pkt to protect saIndex esp ah
    flags
    find_active_ipsec_sa_by_index(): find active IPSec SA index
    type(3)!
    software
    esp_output(): + tunnel SPI
    ip_len
    crypt_len = , pad_len =
    –?? sa_life_low_mark == 42789 secclock =
    14306
    esp_output(): process done
    Found matched rule! the trigger packet is: source
    IP=172.16.3.201, dest
    IP=
    125.1.1.67
    proto
    ipsecOutSpdExec(): SPD found, place
    saIndex
    IPSec found pkt to protect saIndex esp ah
    flags
    find_active_ipsec_sa_by_index(): find active IPSec SA index
    type(3)!
    software
    esp_output(): + tunnel SPI
    ip_len
    crypt_len = , pad_len =
    –?? sa_life_low_mark == 42789 secclock =
    14307
    esp_output(): process done
    Found matched rule! the trigger packet is: source
    IP=172.16.3.201, dest
    IP=
    125.1.1.67
    protocol=1
    ipsecOutSpdExec(): SPD found, place
    saIndex
    IPSec found pkt to protect saIndex esp ah
    flags
    find_active_ipsec_sa_by_index(): find active IPSec SA index
    type(3)!
    software
    esp_output(): + tunnel SPI
    ip_len
    crypt_len = , pad_len =
    –?? sa_life_low_mark == 42789 secclock =
    14308
    esp_output(): process done
    Found matched rule! the trigger packet is: source
    IP=172.16.3.201, dest
    IP=
    125.1.1.67
    protocol=1
    ipsecOutSpdExec(): SPD found, place
    saIndex
    IPSec found pkt to protect saIndex esp ah
    flags
    find_active_ipsec_sa_by_index(): find active IPSec SA index
    type(3)!
    software
    esp_output(): + tunnel SPI
    ip_len
    crypt_len = , pad_len =
    –?? sa_life_low_mark == 42789 secclock =
    14309
    esp_output(): process done
    find_ipsec_sa_by_spi(): spi = 0x3838E6BD, other_spi =
    0xAB3907BB
    find IPSec SA index
    type!
    assigned sa->saLife.sa_life_end = 42787 from secclock() =
    14348
    sa->phase2_num = 1

    sa-> saIndex =
    sa->sa_life_type =
    sa->sa_life_end = 42789 new clock ==
    14348
    del =
    sa-> saIndex =
    sa->sa_life_type =

    Consigli:

    * Verificate sempre l’ip risolto dal DNS di Fastweb prima di
    effettuare i test
    * In caso di crash o reboot del router ADSL durante la connessione
    resettatelo e rifate la configurazione da zero (a me lo ha suggerito
    il supporto della zyxel dopo innumerevoli ore parse a capire cosa
    avessi sbagliato)
    * Verificate che il NAT T sia abilitato SOLO lato Fastweb
    * La combinazione
    Local ID Type= IP Addr Local ID Content= 125.1.1.201
    Peer ID Type= IP Addr Peer ID Content= 0.0.0.0
    Deve essere invertita tra le due sedi e corretta nei campi , ma non è
    in relazione con gli ip delle LAN, li posso mettere a piacimento
    purchè correttamente compilati e invertiti.
    * La connessione può essere inizializzata da entrambe le sedi, non
    solo lato ASDL.

    Comadi ADSL

    ipsec debug on Attiva il debug
    ipsec load 1 Carica la regola 1
    ipsec display 1 Mostra la regola 1
    ipsec dial 1 Connette con regola 1

    Cipsec begugomandi Zywall
    ipsec ipsecEdit 1 Carica parametri Ipsec regola 1
    ipsec ipsecDisplay 1 Mostra parametri Ipsec regola 1
    ipsec ikeEdit 1 Carica parametri IKE regola 1
    ipsec ikeDisplay 1 Mostra parametri IKE regola 1
    ipsec debug type 2 on Attiva debug IKE
    ipsec debug type 3 on Attiva debug Ipsec
    ipsec debug level 3 Attiva debug avanzato

  40. Salve a tutti.. posseggo un zywall 5 in sede mentre in due uffici separati o lo zywall p1 che sono collegati in vpn allo zywall 5 dalla sede, dalla sede pingo le due reti degli zywall p1 e viceversa ma da un ufficio separato non pingo l’altro ufficio , cosa mi manca da configurare ?

    Thank all

  41. per Fabio

    C’è una configurazione particolare per far vedere le 2 VPN tra di loro senza farne una terza tra le du sedi, mi è parso di vederla tra le FAQ di Zyxel. Di più non ricordo.

I commenti sono chiusi