Andrea Beggi

"I'm brave but I'm chicken shit"

La Posta

Ricevo il seguente messaggio:

La mia azienda ha tre sedi. Nella sede principale ci sono due connessioni internet con due router/firewall (RF1 e RF2).
RF1 viene utilizzato per la connessione internet e per una VPN verso una delle sedi remote (S1). RF2 solo per la VPN verso l’altra sede (S2).
Mentre la VPN RF1< ->S1 funziona benissimo, nell’altro caso riesco a mettere in contatto solo RF2 con il router di S2, mentre i pacchetti tra le due reti non passano affatto. Dai log vedo che il collegamento si instaura perfettamente. Dov’è il problema?

Questo accade poichè gli host della sede principale usano come default gateway RF1. I pacchetti dalla rete di S2 arrivano fino all’host finale, ma questi indirizza (correttamente) la risposta a RF1, poichè l’IP di destinazione del pacchetto non fa parte della sua sottorete.
RF1 non “conosce” la rete remota di S2, allora inoltra a sua volta il pacchetto verso il suo gateway, oppure lo scarta perchè è di una classe privata (e quindi non routabile su internet). In entrambi i casi il pacchetto non raggiungerà mai la sua destinazione.
Il problema è di semplice soluzione: basta creare una route statica su RF1, che indichi l’indirizzo di RF2 come gateway per i pacchetti destinati alla rete S2. Il tutto sull’interfaccia LAN e con metrica 1.
In questo modo, i pacchetti per S2 provenienti da host della sede centrale verranno inoltrati da RF1 a RF2. Quest’ultimo provvederà a inserire il traffico nel tunnel VPN verso il router di S2, e da lì pacchetti arriveranno a destinazione.


Pubblicato

in

da

Commenti

8 risposte a “La Posta”

  1. Avatar maga

    Andrea mi sento chiamato in causa… 😉

  2. Avatar Andrea

    Maga, certo che si. Non mi invento mica i problemi. 😀

  3. Avatar fullo

    andrea, un poco ti invidio a me arrivano solo email tipo “vorrei sapere come posso fare ad hackerare il cellulare della mia morosa per leggerne gli sms senza che mi scopra” oppure “come faccio a bucare il sito xxxxx.xxx ?”…. sigh…

    ciuaz

  4. Avatar Andrea

    Fullo, anche quelle che arrivano a me non scherzano. Naturalmente per qualcuna vale la pena scrivere un post, quando pu� avere interesse generale.

  5. Avatar andrea
    andrea

    salve vorrei un info!
    visto che parlate di questo file ‘netsh’
    ma � indispendsabile avere questo file?
    faccio questa domanda perchecquesto file mi appare ogni volta che accendo il pc in forma di promp msdos. e non capisco perche mi appare.
    ps prima non ero a conoscenza di questo file

  6. Avatar marco
    marco

    Andrea, ben contento di imparare
    a distanza di + di 1 anno dal tuo post, scrivo:
    la soluzione che proponi e’ certamente la piu’ rapida,
    ma mi rimane un dubbio.

    Riducendosi per semplicita’ ad un solo PC in sede centrale,
    se RF1 dovesse un giorno – essere rimosso,
    l’utonto non si spiegherebbe perche’ mai
    non riesce a contattare S2
    (al quale reputa di essere allacciato attraverso solo RF2).

    Come si risolve?
    unicamente con una route statica sul suo PC ?

    Grazie tantissime !

  7. […] per uscire su internet ed uno per una connessione VPN verso una sede remota. Ne avevo parlato anche qui. Per semplificare le cose in quel post assumo che sia il default gateway a inoltrare il traffico […]

  8. Avatar Viviano
    Viviano

    Ho letto tutto e confesso ho qualche problema nella comprensione: il mio problema è proprio questo. Il mio router Alice Gate 2 plus Wi-Fi ha indirizzo 192.168.1.1 e con un Client VPN mi collego all’ASA Cisco di una azienda che seguo che ovviamente ha IP 192.168.1.1 e altrettanto ovviamente NON può essere cambiato.
    Come posso fare a modificare il mio IP sul mio router senza chiedere supporto Telecom ( mi basta avere a che fare quotidianamente per problemi di connessione con questi ).
    Grazie 1000