Mi sono trovato nella necessità di stabilire una connessione VPN tra una sede ed un ufficio distaccato. Ho a disposizione due firewall Zyxel ZyWall 5 e ZyWall 10 (quest’ultimo fuori produzione).
Questi due ottimi prodotti sono in grado di funzionare come endpoint di una VPN IPSec; è una soluzione che ho già usato in passato ed è molto comoda per facilità di configurazione, sicurezza e completa trasparenza dal lato LAN.
Questa volta però sono scettico: l’ufficio periferico non ha un IP fisso, e non lo può avere in tempi ragionevoli. La documentazione dice che la configurazione è supportata, ma sento puzza di bruciato; decido di fare comunque un tentativo.
Dopo tre tentativi e un paio di upgrade di entrambi i firmware, devo ricredermi: funziona!
Naturalmente la connessione può essere iniziata solo dal lato dell’IP dinamico, ma una volta stabilita, le due reti si vedono perfettamente, ed in modo bidirezionale.
Il segreto è lasciare a 0.0.0.0 la definizione della rete remota sull’endpoint provvisto di IP fisso.
Commenti
72 risposte a “VPN e indirizzi dinamici”
Suppongo che hai messo lo Zywall10 sull’indirizzo fisso e lo Zywall5 sul dinamico, vero? E che le due reti interne hanno indirizzi di rete diversi, tipo 192.168.0.0/24 e 192.168.1.0/24?
Gaspar: viceversa. In sede, IP fisso, c’� ZyWall 5. A dispetto del nome il 5 � moooolto superiore al 10. Le due reti hanno classi diverse, naturalmente. Non vedo il motivo di impelagarsi nel subnetting quando non c’� n’� bisogno. 😀
funziona bene anche con due ip dinamici, appoggiandosi a dyndns (purtroppo solo a questo)
gli zywall attuali hanno quasi tutti (sicuramente si ZyWall 5 e 35) la possibilit� di impostare un dns dinamico.
Con questa gabola si riesce anche a creare un tunnel vpn tra due end point fastweb residenziali.
Non funziona se il contratto � business, in quanto il router cisco che installano non permette di popolare con l’indirizzo ip corretto il dns.
Ovviamente va abilitato NAT traversal, i router devono essere trasparenti all’ipsec ecc. ma ste cose me le hai insegnate tu 😛
ps: OT piaciuti gli afterhours?
� da una settimana che mi sto smontando la testa per creare una vpn tra due zyxel prestige 652h uno con ip statico e l’altro con ip dinamico 😥
Salve, vorrei creare una vpn fra 2 uffici, ma tutti e due con ip dinamico, qualcuno può aiutarmi??
thank you
dovrei creare una vpn(??) per accedere da un pc remoto al router(netgear dg834g) a cui e’ collegato il mio pc (modalita wireless) ed un hard disk esterno collegato tramite lan……
Non ho idea sull’impostazione dei vari ip …..mi puoi aiutare….grazie!!!
dopo 2 nottate sono riuscito a configurare uno zwall5 (ip statico) e un prestige 652h (ip dinamico) in tunnelling vpn … e funziona (nel senso che vedo la VPN attiva sui router).
Il bello è però che non riesco a raggingere i PC della rete remota !! (nemmeno li pingo)
Ho abilitato netbios su VPN su entrambi i router ma niente..
L’Ip statico è su Fastweb business mentre il dinamico ‘ su alice..
Sarei grato a chi mi desse una mano !!!
blog morto..
ciao, forse qualcuno mi puo’ aiutare.
ho un ip fisso , ma chiamandolo mi risponde la pagina di configuarazione del router zyxel 660 prestige , mentre io vorrei avere accesso diretto al server che e’ sulla rete del zyxel
come posso fare?
ormai le ho provate tutte !!
grazie
clo
per claudio: beh devi fare un nat e aprire la porta nel firewall. se vuoi mantenere il pannello di gestione abilitato sulla wan (pazzo!) cambia la porta sulla quale si mette in ascolto e aprila nel firewall
Io devo fare una VPN tra due uffici, entrambi con un ip pubblico statico.
Il problema e’ ke il modem pirelli smart gate nn mi fa impostare il nat, e ovviamente, nemmeno il virtual server.
Il tecnico telecom mi ha detto che devo richiedere degli ip pubblici aggiuntivi…e’ vero?
Tieni conto che dietro al modem uso un firewall netgear fvs114.
Ciao Andrea,
Secondo te è possibile instaurare una VPN_PPTP tra telefono-palmare (TIM)ed un pc casalingo che si collega tramite Tin.it -adsl-modem ethernet Ericsson- ??
Dopo essermi autenticato con successo ,il ping funziona ma non posso sfogliare le risorse del pc casalingo ,anche se non è attivo alcun firewall ed antivirus.
La VPN in locale funziona però !!!!(in wireless -ad hoc-)
grazie,se puoi rispondimi!!!
Giuseppe
anche io avrei un problemino con la vpn….
ho una sede con ip dinamico, ho creato il ddns e viene aggiornato correttamente su un dns del tipo “pippo.ath.cx”. Come modem/router/gateway c’è uno zyxel P-661H-D1 . Tutto quello che c’è è sulla 192.168.1.xxx senza nessuna configurazione particolare, tranne un access point con dhcp.
l’altra sede, ha 5 ip statici. Tutta la rete è sulla sottorete 192.168.0.xxx e come router/modem/gateway c’è uno zyxel 652H/HW-31 . qui la faccenda è un pochino più complessa, perchè ho una configurazione NAT in “full feature”, con 3 ip statici, nattati 1-1 con relativi ip locali. Poi c’è la regola NAT per tutto il resto della rete ( range locale 192.168.0.0 – 192.168.0.255 nattato su ip ppp della connessione adsl). In più, ci sono altre 5 connessioni VPN attive con altre sedi, sulle sottoreti 10.x.x.x, ma queste funzionano correttamente.
Quello che dovrei fare io, è “mappare” attraverso la vpn, un singolo ip della prima rete, all’interno della seconda. La cosa non deve essere reciproca…. la prima rete serve soltanto a mettere a disposizione della seconda rete, una NAS per disaster recovery distribuito, non deve fare null’altro.
Il problema è che, nonostante il DDNS, la connessione VPN non ne vuole sapere…. Ance provando a pingare, la connessione non va su, e non compare nemmeno niente nei log dei due router.
Uff. Aiuto…..
volevo se è possibile un aiuto di questo genere:
mi trovo con reti ipdinamici con router e vorrei conoscendo l’ip dinamico (non viene spento mai il router) collegare due reti a distanza con eventuali condivioni di file o altro.
puoi aiutarli ti ringrazio
Giovanni
Ciao a tutti mi trovo a risolvere una situazione che mi sta facendo abbastanza arrabbiare.
Ho due FW/VPN Zywall 2 Plus con i quali collegare (logicamente) due reti LAN tra loro.
il problema sussiste nell afase dopo l’autenticazione della VPN.
Infatti pur tirando su il Tunnel, non riesco a pingare le macchine di una delle due reti.
Il bello e che sono speculari come configurazione, ma da una prate pingo l’unico pc presente senz aalcun problema, mentre dall’altra arrivo alla porta lan del FW e niente più..
Attenzione che nelle regole del fw ho impostato tutti i servizi tra le lan (tant’è che sul pc con cui ci si connette funziona senza problemi l’accesso al desktop remoto).
mi è stato detto che quello che voglio fare io (quindi far vedere le due LAN tra loro) non è possibile col modello Zywall 2 Plus ma solo con quelli superiori (qualcuno mi da conferma di questo??).
Infine secondo voi cosa può essere che mi disturba e non fa funzionare il tunnel tra le due LAN? (pur essendo attivo e confermato dal monitor..), l’unico aiuto è che ho una piccola differenza di firmware tra i due (tipo 4.05 e 4.06, ora non mi ricordo bene)
Ringrazio tutti coloro che possono darmi una mano e a proposito.. Grande Andrea 🙂
Ciao max
Mai provato tra due ZyWall 2, bisogna vedere le specifiche. Intanto come prima cosa aggiorna il firmware all’ultima versione (eventualmente su entrambi)
Ciao, ho visto quanto scrivi nel tuo blog e quanto sia utile la pubblicazione dei tutorial: ti faccio i complimenti.
Ho trovato il tuo bolg cercando come argomento su un motore di ricerca la parola VPN configurazione; vengo al dunque chiedendoti aiuto.
Lavoro presso un’azienda che utilizza un accesso tramite VPN per scaricare la posta lontano dall’ufficio. Vorrei farlo attraverso un palmare PALM Treo 680 e software di connessione VPN Mergic VPN 1.1 . Inseriti tutti i parametri richiesti dal softw quando inizia a creare il tunnel di connessione, non riesce a connettersi dicendomi quanto segue: ‘Error: no server config response, possible firewall or NAT block (0x870E)’
Chiesto all’interno del mio ufficio IT ma loro dicono che non è un problema di VPN azindale ma di provider. Utilizzo come connessione TIM con una scheda telefonica aziendale.
Riesci a capire cosa succede ?
Spero tu mi possa aiutare.
Ciao e grazie
Salvatore
Ciao, ho visto sul blog che si parla spesso di zyxel e vpn forse qualcuno puo’ aiutarmi
zywall 5 da una parte con ip statico pubblico su rete fastweb sulla quale ci sono montati siti web funzionanti e raggiungibili, sede remota con zyxel prestige P-661HW-D1 con ip statico di telecom , non riesco assolutamente a creare una vpn tra loro, il problema è che essendo la prima volta non so se la configurazione sbagliata e’ del prestige o del zywall!
Nessuno riesce a darmi una mano ??
Roberto nel lontano 27/06/2005 alle 17:40, scrive:
“…funziona bene anche con due ip dinamici, appoggiandosi a dyndns (purtroppo solo a questo)
gli zywall attuali hanno quasi tutti (sicuramente si ZyWall 5 e 35) la possibilit� di impostare un dns dinamico.
Con questa gabola si riesce anche a creare un tunnel vpn tra due end point fastweb residenziali.
Non funziona se il contratto � business, in quanto il router cisco che installano non permette di popolare con l’indirizzo ip corretto il dns.
Ovviamente va abilitato NAT traversal, i router devono essere trasparenti all’ipsec ecc. ma ste cose me le hai insegnate tu….”
premettendo che non capisco un “H” di tutto ciò, mi piacerebbe avere una conferma: si può fare una VPN anche con due IP dinamici??!!!
Lo chiedo perchè il tecnico che si occupa della gestione del “mio ufficio” ha voluto a tutti i costi acquisire un IP statico in sede, e ho dovuto aspettare 6 mesi per averlo!!!!!!
P.S. ho un contratto business….
Ciao a tutti. Avrei da sottoporre pure io una domanda, ma più puramente di carattere commerciale.
Nella sede principale dell’azienda per cui lavoro eiste un router zyxel 652, che funziona splendidamente. Ora ho la necessità di collegare via vpn tre filiali. Tutti gli uffici, compresa la sede, hanno una linea adsl a banda larga con indirizzo ip statico.
Questa è la mia domanda: Con 3 zyxel prestige 660hw-d (router, switch, firewall, con supporto wireless) riesco a collegare le 3 filiali via vpn alla sede?
Se si dove posso reperire delle informazioni sulla configurazione?
grazie
alessio
Ciao Andrea, visto che hai esperienza di Zywall ti pongo un piccolo quesito. La rete di un mio cliente necessita di una connettiva’ Internet, e di un VPN realizzato da Telecom tramite un punto-punto sulla rete remota di una grande azienda. Attualmente viene utilizzato un PC che fa da proxy tra le due reti. Dovendo installare un Router Zywall 5 UTM sulla connettivita’ Internet, ai fini della sicurezza della rete, mi chiedevo se tale firewall permetesse di evitare l’utilizzo del PC come proxy. La classe di indirizzi potrebbe essere diversa o uguale, in quest’ultimo caso l’istradamento verso il VPN avrebbe DNS e gateway con indirizzi diversi rispetto al router Internet. Cosa ne pensi ?
Dario
Devo connettere via tunnel VPN IPsec LAN-to-LAN due presidi di un’azienda. Il problema è il router Pirelli fornito con Alice business, purtoppo gia presente su uno dei due siti. Chiedo se qualcuno ha richiesto gli 8 ip aggiuntivi ed è poi riuscito ad attivare il tunnel ponendo a valle un dispositivo VPN (Io solitamente uso un Mikrotik). Se richiedo al cliente il pacchetto aggiuntivo a 8 euro al mese e poi non funziona mi spela il sedere!
ciao andrea scusa la mia ignoranza in materia ma vorrei sapere dove sbaglio.dunque ho un router zyxel 660 hw ho collegato un altro pc con cavo ethernet ad una presa del router, tutto funziona bene tutti e 2 i pc si possono collegare in internet, ho installato la rete ma facendo il ping, il mio pc lo vede, ma l’ altro no.devo dire che il cavo
che ho comperato è di tipo dritto (cosi mi hanno consigliato)gli ip sono diversi il gruppo è uguale.non posso utilizzare la wifi perche ho i muri troppo spessi e non passa il segnale il cavo invece l’ ho passato subito etutto funziona ma non la rete .Pechè? grazie per l’ attenzione
Ciao Andrea, a proposito di Zywall 5…ne ho appena acquistato uno da piazzare da un mio cliente con la seguente esigenza: hanno un contratto adsl con colt con router in comodato (non configurabile e non nattabile)e vorrebbero potersi loggare alla rete da remoto. Il router ha ip statico (per es. 80.80.80.80), la LAN è 10.0.0.x. Sapresti indicarmi come devo configurare lo zywall? ho provato da me ma non riesco neanche a pingare il router…
cosa devo mettere in LAN e in WAN? grazie in anticipo per l’aiuto
Il router di Colt deve ribaltare tutto il traffico sullo ZyWall, a quel punto fai ciò che vuoi. Se non si può, non riesci a fare nulla.
Ciao Andrea,
ho router 660 che ribalta tutte le porte su ZyWall 5, mi collego in vpn (software Zyxel) pingo le macchine ma non riesco a sfgliare la rete con Risorse di rete pur ricevendo Ip da DHCP e con DNS interni.
Perchè non ci riesco?
All’interno ho SBS2K3 e STD2K3R2 ma non so come fare x autenticarmi.
Grazie
Ciao
Avrei bisogno di un aiuto. Sto da più di una settimana settando due Netgear FVS114 collegati a 2 rispettivi router Allied Telesyn Ar240, con internet Telecom con 1 IP fisso per sede. Con i Wizard del Netgear, riesco a stabilire la connessione, ma i pc delle rispettive sedi non si vedono. i parametri sono i seguenti. SEDE A lan 192.168.a.xx, FW 192.168.a.1,FW pubblico 192.168.b.2, IP router lan 192.168.b.1 , IP router pubblico 82.x.x.x.
SEDE B lan 192.168.c.xx, fw 192.168.c.1, FW pubblico 192.168.d.2, ip router lato lan 192.168.d.1 ,ip router pubblico 81.x.x.x. Entrambi i router sono settati per il NAT interno ,e null’altro. Cosa ho dimenticato? Per favore aiutatemi a risolvre, sto impazzendo. Grazie
Gianluca
Ciao Andrea,
vista al tua conoscenza degli ZyWALL 5 provo a chiederti aiuto. Ho 2 ZyWALL 5 con i quali devo collegare 2 sedi di un’azienda. Visto che è la prima volta che provo a fare una vpn li sto testando in laboratorio da me, collegandoli a 2 linee adsl distinte. Ho impostato i due apparati in modalità Bridge ed ho eseguito i wizard per creare la vpn. Il problema è che la vpn non va, non si vede traccia di connessione nemmeno nei log, mentre se provo ad accedere ad uno dei due apparati tramite un client vpn, nel log vedo che il tentativo di connessione viene accettato dal firewall, ma poi il client vpn mi dice che non riesce a connettersi. Gli ZyWALL stanno dietro ad un Siemens Santis 50(ADSL) e un Linksys AG241(ADSL2) e gli indirizzi sono impostati in DMZ. Spero di essere stato abbastanza chiaro.
Grazie in anticipo 🙂
Gianluca
Non userei la modalità bridge. E per le prove non userei DMZ. E ricorda di usare classi private diverse.
Sto provando a fare come mi hai detto, ma continua a non andare. Potresti dirmi quali porte devo nattare sui router per fare in modo che la vpn funzioni?
Ciao andrea, continuo a fare prove, ma niente da fare. Se possono essere utili pubblico i log di uno dei due ZyWALL. Qui c’è un’immagine di quello che succede quando provo a pingare un host della lan remota: http://www.evoluzioneufficio.com/logs.jpg
Durante tutto questo, il log dell’altro apparato non registra niente… è normale?
Grazie
Salve a tutti e ciao a te Andrea! Mi sto scervelando per una vpn tra una scheda wireless 3 (e quindi ip dinamico) e la sede!
Sarà fattibile? 🙁
ciao a tutti avrei bisogno di un aiuto x creare una vpn tra il mio ufficio e la sede centrale. Premetto in sede ce un indirizzo ip statico, firewall firebox watchguar, router cisco 1700, linea fastweb HDSL sincrona. Il mio ufficio indirizzo ip dinamico, router firewall zyxel P-661HW e linea adsl (alice). Potete darmi alcune nozioni di base sulle vpn? Potete aiutarmi. Grazie.
Una questione in merito alle porte da nattare staticamente tra il router ed il firewall: tutte le VPN usano le stesse porte, oppure variano da apparato ad apparato. Nel caso di Zyxel non sono riuscito a trovare le porte TCP/ip e udp che vengono usate per instaurare la VPn. Il problema al momento, l’ho risolto, facendo nattare tutte le porte, ma mi sembra eccessivo dal lato della sicurezza (per quanto resti pur sempre il firewall tra la Lan ed internet).
Grazie a chi saprà rispondermi
Scusatemi, ma sono un principiante del mondo reti/wireless.
Nel mio condominio abbiamo montato, tramite un provider, una antenna wifi che comunica con il loro server per fornirci un primo abbozzo di banda larga. Dall’antenna centralizzata sul tetto arriva in casa mia un cavo di rete, e di fatto comunichiamo con una VPN (il provider mi ha dato un IP e una username/password per la connessione).
Se connetto il cavo di rete sul portatile ed effettuo la connessione, tutto ok: ma dal momento che il computer fisso è dall’altra parte della casa ho pensato bene di comprare un access point wireless per non passare cavi per casa. Il problema è che non riesco a configurare correttamente l’access point (è un canyon wf-514). La scheda di rete wifi del fisso ottiene un ip e vede l’accesspoint, ma al momneto di connettersi dà errore 800 o 619 (la porta non è aperta o qualcosa di simile)
Potreste cortesemente aiutarmi?
Ciao a tutti
E’ da diversi giorni che sto provando a creare una VPN fra un portatile con IP dinamico con software Netgear Pro Save Vpn Client ed un router Netgear FVS114 con IP fisso.
Per quanto ci provi non ci riesco.
Qualcuno può aiutarmi?
Nella IKe policy del Router in “Fully Qualified Domain Name ” sia Local che Remoto cosa devo scrivere?
Grazie
Ciao Andrea,
Ho creato una vpn tra una sede centrale e 3 diverse filiali. Nella centrale ho installato uno zywall5 e nelle filiali zywall2. Tutto funzionava correttamente finchè non mi si è bruciato il z5, l’ho sostituito ho riconfigurato le vpn che vanno in piedi, ma non riesco più a stampare, quando seleziono la stampante sta li ore e non esce nulla. Mi sono scordato qualcosa? Mi puoi aiutare?
Dimenticavo grazie in aticipo
Ciao Andrea
Hey complimenti per questo blog!!!
non ho letto tutto ma volevo intanto chiederti un consiglio.
Ho un ufficio con piu di 15 postazioni internet alcune delle quali utilizzano anche peer2peer. attualmente ho una connessione adsl con un semplice provider ma sono in attesa di fastweb 4mb up/down. (prenderò un ip statico a 15€ mese)
Vorrei comprare un firewall e pensavo un Zywall 5 UTM.
Che dici va bene o ci sta di meglio???
e poi quando verranno i tecnici di fastweb lascerò tutte le porte aperte del router che installeranno?
Per il menu di configurazione è abbastanza user-freindly??
Considera che avrò anche una ADSL di backup sempre collegata al firewall.
Grazie e scusami di tutti questi consigli.
pensavo una cosa…
perche non apri un bel forum??
Salve a tutti ho un zyxel 660H e vorrei abilitare il DHCP ma allo stesso tempo impostare gli IP statici su due macchine Win in modo da poter collegare notbook vari senza configurare scheda di rete e mantenere i pc fissi con impostazione data da me. Come faccio?
Ciao a tutti e complimenti per il blog…Sono alla mia prima configurazione di firewall ZyWall 5…Dovrei metterlo davanti ad una rete interna aziendale. Sono alle prime armi, e non so nemmeno da dove cominciare. Ho 4 indirizzi pubblici, penso servano…giusto ? La rete in questione è composta da 15 pc, tutti con il proprio indirizzo privato. Sapete come aiutarmi ? C’è qualche guida o qualcosa ? Grazie.
Teo 🙂
Ciao a tutti, finalmente sono riuscito a far funzionare la vpn…quasi…. In realtà avrei ancora un problemino Le due reti si vedono perfettamente, ma riesco ad inviare i file solo in un verso. Questo è lo schema dell’impianto:
Lan1ZyWall5Router Alice BusinessRouter DlinkZyWall5Lan2
Se provo ad inviare un file da un qualsiasi pc della Lan1 ad un qualsiasi pc della Lan2, tutto funziona alla grande(su vede la finestrella con la progress bar che indica il tempo restante e il file viene copiato perfettamente).
Se, invece, provo ad inviare un file da un qualsiasi pc della Lan2 ad un qualsiasi pc della Lan1 succede il casino. Non compare la progress bar, explorer si inchioda per qualche secondo e il file viene copiato delle stesse dimensioni dell’originale, ma è corrotto. Qualcuno sa dirmi da cosa potrebbe dipendere?
Grazie 1000
Mi sono accorto ora che lo schema non è venuto bene, provo a rifarlo:
Lan1—ZyWall5—Router Alice Business—WWW—Router Dlink—ZyWall5—Lan2
ciao a tutti, qualcuno sa aiutarmi con al configurazione della seguente VPN, premetto che ho già fatto molte VPN con IP statici e firewall di buona qualità(Zywall da ambo i lati) senza problemi, ma questa volta ho da un capo uno Zywall 70 UTM con ip pubblico statico e dall’altro un modemrouter/firewall netgear DG834GT con ip pubblico dinamico, e non riesco a far accettare allo zywall la config per VPN verso dynamic secure gateway IP…….
qualcuno mi sa aiutare? sapete dove potrei reperire un how to?? grazie ciao a tutti
per Matteo:
i 4 Ip pubblici (subnet) servono soprattutto se devi fare una VPN in quanto tenendo conto che il primo e l’ultimo non sono mai utilizzabili (rete e broadcast) te ne rimangono 2 da usare uno sullo Zywall su porta WAN (il terzo per l’esattezza) e l’altro (il secondo) come gateway (nel caso di fastweb il router Cisco che ti danno loro). Poi all’altro endpoint andrai a fare la stessa cosa. Se invece devi solo proteggere la LAN non ti servono tanti IP pubblici, ne basta uno. Ogni PC della LAN dovrà avere come default gateway l’indirizzo IP LAN dello Zywall (nella stessa sottorete ovviamente) e poi ci pensa lui a nattare e instradare. Ricordati i DNS da mettere nei PC oppure li metti nello zywall e nei PC metti l’indirizzo del gateway anche come DNS.
Spero che sia di aiuto a chi vuole affrontare questo problema …
sapendo che la soluzione c’è……
Documento VPN Fastweb (ip pubblico) Alice (ip dinamico) con Zyxel
Scenario
PC1 — Zywall 5 — Router Fastweb — Internet — Alice —–P-661HW-
D1 – PC2
Nel dettaglio
PC1 125.1.1.67
Zywall 5:125.1.1.201 (Bridge mode) mappato ip pub 89.96.111.0
Router Fastweb:125.1.1.240 con 4 ip pub uno dedicato al Zywall 5
P-661HW-D1:172.16.3.1 con Dyndns su miodominio.dyndns.org
PC2 172.16.3.201
P-661HW-D1: ZyNOS Firmware Version: V3.40(AHQ.0) | 05/01/2006
ZyWall 5: ZyNOS version: V4.01(XD.1) | 09/04/2006
Per configurazioni lato Fastweb
– Regola firewall WAN to WAN/Zyxel
Permit Source ANY Dest ANY IPSEC_TUNNEL(ESP:0)
Permit Source ANY Dest ANY IKE(UDP:500)
Configurazione Bridge (DNS)
Configurare First DNS 213.140.2.12
Configurare Second DNS 213.140.2.21
Per configurazioni lato Alice ADSL
– Regola firewall WAN to WAN/Router
– Permit Source ANY Dest ANY IPSEC_TUNNEL(ESP:0)
– Permit Source ANY Dest ANY IKE(UDP:500)
DynDNS
– Registrare un account miodominio.dyndns.org e attivarlo nel menu
Dynamic DNS (Use WAN IP Address)
Sede FASTWEB con Firewall Zywall 5
Modalità Bridge (non richiede l’intervento di fastweb al momento
dell’installazione, gestisce in modo trasparente tutti i pacchetti
diretti al GW di Fastweb)
Step 1 Chiedere a Fastweb di girare il traffico dell’IP pubblico
sull’indirizzo di gesione del firewall, oppure assegnare al firewall
l’indirizzo ip nattato sul relativo ip pubblico.
Step 2 configurare la VPN
Metto le configurazione in formato testo per comodità
ras> ipsec ipsecEdit 2
ras> ipsec ipsecDisplay
———- IPSec Setup ———-
Index #= 2 Active= Yes Multi Pro = No Protocol= 0 Global SW=
0xA
Bound IKE 2 NailUp = No Netbios = No Name= RA
ControlPing = No LogControlPing = No Control ping address = 0.0.0.0
Local: Addr Type= SUBNET Port Start= 0 End= N/A
IP Addr Start= 125.1.0.0 Mask= 255.255.0.0
Remote: Addr Type= SUBNET Port Start= 0 End= N/A
IP Addr Start= 172.16.3.0 Mask= 255.255.255.0
Enable Replay Detection= No Key Management= IKE
Phase 2 – Active Protocol= ESP
Encryption Algorithm= DES Authentication Algorithm= SHA1
SA Life Time (Seconds)= 28800
Encapsulation= Tunnel Perfect Forward Secrecy (PFS)= None
ras>
ras> ipsec ikeEdit 2
ras> ipsec ikeDisplay
———- IPSec Setup ———-
Index #= 2 Active= Yes Global SW= 0xA
NAT traversal= Yes Multi Pro= No Name= MIA VPN
My IP Addr= 0.0.0.0
Secure Gateway Addr= miodominio.dyndns.org
(82.48.20.209 )
IPSec HA Disabled
Local ID Type= IP Addr Local ID Content= 125.1.1.201
Peer ID Type= IP Addr Peer ID Content= 0.0.0.0
IP Policy Index: 3
———- IKE Setup ———-
Authentication Method: Pre-Shared Key
Phase 1 – Negotiation Mode= Main
Authentication= preShareKey
Key= VERYSECRET
Encryption Algorithm= DES Authentication Algorithm= MD5
SA Life Time (Seconds)= 28800 Key Group= DH1
ras>
ATTENZIONE il router di Fastweb non fa passare il protocollo Ipsec, se
non si abilita il NAT T va in piedi il tunnel ma non passa nessun
pacchetto di trasporto.
Sede con Alice Telcomitalia P-661HW-D1
Step 1
Configurare il dominio miodominio.dyndns.org su ip dinamico attraverso
il sito http://www.dyndns.org (manage host)
Riportare la configurazione nel menu Dynamic DNS
ras> sys ddns display
DDNS Status
state = 1, flags = 3
pauseTime = 86400000, timerID = 6700cb
startcnt = 1, stopcnt = 0
retrycnt = 0, eventqcnt = 0
socketID = -1
DomainName = miodominio.dyndns.org
Host Type = dyndns
Offline Mode = NO
update IP = 82.48.20.209
update time = 06:31:00 Sat. Jan. 01, 2000
retCode = good
ras>
ATTENZIONE che gli aggiornamenti dei DNS non sono mai istantanei e
necessitano qualche minuto per propagarsi. Verificate dalla sede
remota che il DNS di Fatsweb sia stato aggiornato correttamente con
l’ip che vedete sull’interfaccia WAN prima di effettuare i test di
connessione.
Ogni riavvio del router ADSL cambia l’ip della wan. I primi test li
ho fatti inserendo a mano IP della WAN nelle configurazioni VPN di
entrambe le sedi.
Step 2
Configurazione VPN
ras> ipsec load 1
ras> ipsec display
NAT traversal= No Name= Milano
My IP Addr= 0.0.0.0 Secure Gateway Addr= 89.96.111.0
Local ID Type = IP Addr Local ID Content = 0.0.0.0
Peer ID Type = IP Addr Peer ID Content = 125.1.1.201
Local: Addr Type= SUBNET Port Start= 0 End= N/A
IP Addr Start= 172.16.3.0 Mask= 255.255.255.0
Remote: Addr Type= SUBNET Port Start= 0 End= N/A
IP Addr Start= 125.1.0.0 Mask= 255.255.0.0
Dynamic Local = No Dynamic Remote = No
DNS Server= 212.216.112.112
Enable Replay Detection= No Key Management= IKE
———- IKE Setup ———-
Phase 1 – Negotiation Mode= Main
Authentication= preShareKey
Key= VERYSECRET
Encryption Algorithm= DES Authentication Algorithm= MD5
SA Life Time (Seconds)= 28800 Key Group= DH1
Phase 2 – Active Protocol= ESP
Encryption Algorithm= DES Authentication Algorithm= SHA1
SA Life Time (Seconds)= 28800
Encapsulation= Tunnel Perfect Forward Secrecy (PFS)= None
———- NetBios Setup ———-
Broadcast Pass Through, Status: Inactive, Group: none
ras>
ATTENZIONE nel caso di router ADSL connesso diretto alla rete del
provider non è necessario abilitare il NAT-T sul lato ADSL.
Fase di test
Step 1
Verificare il vostro ip WAN sia uguale a quello risolto dal DNS di
Fastweb (chiedete a qualcuno della rete di fastweb di fare un tracert/
ping di miodominio.dyndns.org)
Step 2
Lato ADSL entrate in telnet sul router, inserite la password e al
prompt eseguite i comandi :
ras>ipsec debug on (abilita i log)
ras>ipsec load 1 (carica la prima VPN)
ras>ipsec dial 1
Questo è quello che dovrebbe apparire se tutto va bene
IPSEC debug on
ras> ipsec dial 1
Start dialing for tunnel …
ikeStartNegotiate(): saIndex
peerIp protocol: (0)
initiator(): type, exch
find_ipsec_sa():Not found
isadb_is_outstanding_req():
isadb_get_entry_by_addr(): SA not found
SA not found
isadb_get_entry_by_addr(): SA not found
isadb_create_entry(): >> INITIATOR
catcher(): recv pkt
get_hdr(): nxt_payload exch(2) m_id len
isadb_get_entry(): nxt_pyld=, exch=
Old SA, sa->last_pyld=, hdr.nxt_pyld=
sa->last_mid=0x0, hdr.m_id=0x0
sa->last_len=0, hdr.len=128
catcher(): header ENCR_BIT not set
get_sa(): DOI( IPSEC DOI = 1) Sit
get_trans(): num trans_id
valid_pyld(): valid_pyld — VID(13) done
LBN task proc event
genDHParameters(): dh_len=96
GenRand: A(secret_val) done
lbnTwoExpMod(): elen=48, mlen=48
LBN task proc event done
netcmdInformIKE(): inform NETWORK: LBN completion type
result
netexeInformIKE(): NETWORK got LBN completion event
result
Everything is OK, resume Main Mode process
oakley_proc_main_mode(): SA state: OAK_MM_AWAIT_DH_PARAM
proc(): proc , packet m_id
proc(): proc , packet m_id
Initiator starts building KE, NONCE and VID
build_hdr(): For exch(2), m_id
build_ke(): done
build_nonce(): done
throw_sa(): pktLen
catcher(): recv pkt
get_hdr(): nxt_payload exch(2) m_id len
isadb_get_entry(): nxt_pyld=, exch=
Old SA, sa->last_pyld=, hdr.nxt_pyld=
sa->last_mid=0x0, hdr.m_id=0x0
sa->last_len=128, hdr.len=152
catcher(): header ENCR_BIT not set
valid_pyld(): valid_pyld — NONCE(10) done
valid_pyld(): valid_pyld — None(0) done
oakley_proc_main_mode(): SA state: OAK_MM_SA_SETUP
LBN task proc event
gen DH SharedSecret : dh_len=96
. lbnExpMod(): nlen=48, elen=48, mlen=48
LBN task proc event done
netcmdInformIKE(): inform NETWORK: LBN completion type
result
netexeInformIKE(): NETWORK got LBN completion event
result
Everything is OK, resume Main Mode process
oakley_proc_main_mode(): SA state: OAK_MM_AWAIT_DH_SECRET
proc(): proc , packet m_id
gen_skeyid():
sharedSecret done, len:
SKEYID, SKEYID_d, SKEYID_e, ckey built
I_DH_pub_val, R_DH_pub_val built
iv built
oakley_proc_main_mode(): Initiator starts building ID and AUTH
catcher(): recv pkt
get_hdr(): nxt_payload exch(2) m_id len
isadb_get_entry(): nxt_pyld=, exch=
Old SA, sa->last_pyld=, hdr.nxt_pyld=
sa->last_mid=0x0, hdr.m_id=0x0
sa->last_len=152, hdr.len=92
catcher(): header ENCR_BIT set, mid=0x0
decryp_pyld(): len=64 alg, decrypt OK
valid_pyld(): valid_pyld — HASH(8) done
valid_pyld(): valid_pyld — NOTFY(11) done
catcher(): recv pkt
get_hdr(): nxt_payload exch(32) m_id len
isadb_get_entry(): nxt_pyld=, exch=
Old SA, sa->last_pyld=, hdr.nxt_pyld=
sa->last_mid=0x0, hdr.m_id=0x495B930C
sa->last_len=92, hdr.len=156
catcher(): header ENCR_BIT set, mid=0x495B930C
decryp_pyld(): len=128 alg, decrypt OK
valid_pyld(): valid_pyld — SA(1) done
get_sa(): DOI( IPSEC DOI = 1) Sit
Tunnel built successfully!!!
Step 3
Verificare che passi il ping
ras> ipsec debug on
IPSEC debug on
******************************************
****** PING dal 172.16.3.201 al 125.1.1.67
******************************************
ras> find_ipsec_sa_by_spi(): spi = 0x3838E6BD, other_spi =
0xAB3907BB
find IPSec SA index
type!
assigned sa->saLife.sa_life_end = 42787 from secclock() =
14288
sa->phase2_num = 1
sa-> saIndex =
sa->sa_life_type =
sa->sa_life_end = 42789 new clock ==
14288
del =
sa-> saIndex =
sa->sa_life_type =
Found matched rule! the trigger packet is:
s
125.1.1.67
protocol=1
ipsecOutSpdExec(): SPD found, place
saIndex
IPSec found pkt to protect saIndex esp ah
flags
find_active_ipsec_sa_by_index(): find active IPSec SA index
type(3)!
software
esp_output(): + tunnel SPI
ip_len
crypt_len = , pad_len =
–?? sa_life_low_mark == 42789 secclock =
14306
esp_output(): process done
Found matched rule! the trigger packet is: source
IP=172.16.3.201, dest
IP=
125.1.1.67
proto
ipsecOutSpdExec(): SPD found, place
saIndex
IPSec found pkt to protect saIndex esp ah
flags
find_active_ipsec_sa_by_index(): find active IPSec SA index
type(3)!
software
esp_output(): + tunnel SPI
ip_len
crypt_len = , pad_len =
–?? sa_life_low_mark == 42789 secclock =
14307
esp_output(): process done
Found matched rule! the trigger packet is: source
IP=172.16.3.201, dest
IP=
125.1.1.67
protocol=1
ipsecOutSpdExec(): SPD found, place
saIndex
IPSec found pkt to protect saIndex esp ah
flags
find_active_ipsec_sa_by_index(): find active IPSec SA index
type(3)!
software
esp_output(): + tunnel SPI
ip_len
crypt_len = , pad_len =
–?? sa_life_low_mark == 42789 secclock =
14308
esp_output(): process done
Found matched rule! the trigger packet is: source
IP=172.16.3.201, dest
IP=
125.1.1.67
protocol=1
ipsecOutSpdExec(): SPD found, place
saIndex
IPSec found pkt to protect saIndex esp ah
flags
find_active_ipsec_sa_by_index(): find active IPSec SA index
type(3)!
software
esp_output(): + tunnel SPI
ip_len
crypt_len = , pad_len =
–?? sa_life_low_mark == 42789 secclock =
14309
esp_output(): process done
find_ipsec_sa_by_spi(): spi = 0x3838E6BD, other_spi =
0xAB3907BB
find IPSec SA index
type!
assigned sa->saLife.sa_life_end = 42787 from secclock() =
14348
sa->phase2_num = 1
sa-> saIndex =
sa->sa_life_type =
sa->sa_life_end = 42789 new clock ==
14348
del =
sa-> saIndex =
sa->sa_life_type =
Consigli:
* Verificate sempre l’ip risolto dal DNS di Fastweb prima di
effettuare i test
* In caso di crash o reboot del router ADSL durante la connessione
resettatelo e rifate la configurazione da zero (a me lo ha suggerito
il supporto della zyxel dopo innumerevoli ore parse a capire cosa
avessi sbagliato)
* Verificate che il NAT T sia abilitato SOLO lato Fastweb
* La combinazione
Local ID Type= IP Addr Local ID Content= 125.1.1.201
Peer ID Type= IP Addr Peer ID Content= 0.0.0.0
Deve essere invertita tra le due sedi e corretta nei campi , ma non è
in relazione con gli ip delle LAN, li posso mettere a piacimento
purchè correttamente compilati e invertiti.
* La connessione può essere inizializzata da entrambe le sedi, non
solo lato ASDL.
Comadi ADSL
ipsec debug on Attiva il debug
ipsec load 1 Carica la regola 1
ipsec display 1 Mostra la regola 1
ipsec dial 1 Connette con regola 1
Cipsec begugomandi Zywall
ipsec ipsecEdit 1 Carica parametri Ipsec regola 1
ipsec ipsecDisplay 1 Mostra parametri Ipsec regola 1
ipsec ikeEdit 1 Carica parametri IKE regola 1
ipsec ikeDisplay 1 Mostra parametri IKE regola 1
ipsec debug type 2 on Attiva debug IKE
ipsec debug type 3 on Attiva debug Ipsec
ipsec debug level 3 Attiva debug avanzato
Salve a tutti.. posseggo un zywall 5 in sede mentre in due uffici separati o lo zywall p1 che sono collegati in vpn allo zywall 5 dalla sede, dalla sede pingo le due reti degli zywall p1 e viceversa ma da un ufficio separato non pingo l’altro ufficio , cosa mi manca da configurare ?
Thank all
per Fabio
C’è una configurazione particolare per far vedere le 2 VPN tra di loro senza farne una terza tra le du sedi, mi è parso di vederla tra le FAQ di Zyxel. Di più non ricordo.