<div dir="ltr"><div>Grazie per i consigli.</div><div><br></div>La VPN tra le due sedi era già fatta in IPSec ma prima di Vodafone avevano una ADSL con modem che faceva da bridge verso il loro router/firewall VPN. Quindi il loro tecnico voleva migrare la configurazione esistente ma ha il problema della NAT.<div><br></div><div>I loro firewall/router VPN hanno un firmware proprietario che penso permetta le varie tipologie di VPN:</div><div>-IPSec</div><div>-PPTP</div><div>-L2TP</div><div><br></div><div>Presumo si possa attivare il NAT-T (non sono entrato nella configurazione delle macchine per verificare).</div><div><br></div><div><br></div><div>In realtà non penso a loro interessi avere una grande "sicurezza" per cui abbiano scelto IPsec, basta che ci sia una VPN Lan-to-Lan in modo da accedere alle varie macchine che hanno collegate nell'altra sede.</div><div><br></div><div><br></div><div>Ho trovato <a href="http://www.digicom.it/digisit/faq2.nsf/0c964fe6d92884a0c1256a8d004a0986/efd6e2e78474affbc12579ff0035418e/$FILE/LANtoLANviaIPSec.pdf" target="_blank">questa </a>configurazione pensate possa andare bene ?</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 9 gennaio 2015 00:33, Saverio Proto <span dir="ltr"><<a href="mailto:zioproto@gmail.com" target="_blank">zioproto@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Non so per quale motivo vuoi fare IPSec.<br>
Io darei uno sguardo a questo:<br>
<a href="http://www.tinc-vpn.org/" target="_blank">http://www.tinc-vpn.org/</a><br>
<br>
Saverio<br>
<br>
Il 8 gennaio 2015 21:41, Paolo Colucci <<a href="mailto:paoloc279@gmail.com">paoloc279@gmail.com</a>> ha scritto:<br>
<div class="HOEnZb"><div class="h5">> Mi sono dimenticato di chiedere quale altre soluzioni sono possibili in<br>
> questo caso?<br>
><br>
> Il 08/gen/2015 21:40 "Paolo Colucci" <<a href="mailto:paoloc279@gmail.com">paoloc279@gmail.com</a>> ha scritto:<br>
><br>
>> La IPSec penso sia di tunnel mode essendo una Lan2lan, ma non so dire con<br>
>> certezza se è con cifratura AH o ESP, ma in caso penso si possa configurare.<br>
>><br>
>> Ma il nat-t su Ipsec non serve proprio a eliminare questo tipi di<br>
>> inconvenienti quando un lato della Vpn è nattato??<br>
>><br>
>> Inoltre il fatto che sulla Vodafone station venga instradato tutto il<br>
>> traffico sul router Vpn con il Nat Statico può essere utile?<br>
>><br>
>> S<br>
>><br>
>> Il 08/gen/2015 21:18 "Saverio Proto" <<a href="mailto:zioproto@gmail.com">zioproto@gmail.com</a>> ha scritto:<br>
>>><br>
>>> IPSec e NAT non vanno sempre d'accordo.<br>
>>> Devi dare dettagli sulla tua implementazione di IPSec.<br>
>>> Se vuoi fare delle SA IPSec Tunnel Mode classiche con il NAT non<br>
>>> funzionano:<br>
>>><br>
>>> <a href="https://tools.ietf.org/html/rfc3715#section-2" target="_blank">https://tools.ietf.org/html/rfc3715#section-2</a><br>
>>><br>
>>> la VPN Lan to Lan si può fare, ma non si puo fare con IPSec se c'è un<br>
>>> NAT di mezzo<br>
>>><br>
>>> Saverio<br>
>>><br>
>>><br>
>>> Il 8 gennaio 2015 20:59, Paolo Colucci <<a href="mailto:paoloc279@gmail.com">paoloc279@gmail.com</a>> ha scritto:<br>
>>> > Salve a tutti, ho un quesito da proporvi riguardo la fattibilità di una<br>
>>> > VPN<br>
>>> > IpSec Lan-to-Lan di cui una dietro Nat.<br>
>>> ><br>
>>> ><br>
>>> > SEDE A:<br>
>>> > router/server VPN con ip pubblico statico su cui già sono attive altre<br>
>>> > VPN<br>
>>> > con altre sedi<br>
>>> ><br>
>>> > SEDE B:<br>
>>> > il router/server VPN dovrà essere messo in cascata ad una Vodafone<br>
>>> > Station,<br>
>>> > sulla quale non è disponibile la configurazione come Bridge per dare<br>
>>> > l'ip<br>
>>> > pubblico al router VPN.<br>
>>> ><br>
>>> > Secondo un tecnico non è possibile fare una VPN Lan-to-Lan se un peer<br>
>>> > ha un<br>
>>> > indirizzo Privato.<br>
>>> ><br>
>>> > Ho visto per le VPN Ipsec esiste il NAT Traversal che viene incontro a<br>
>>> > questi tipi di problemi:<br>
>>> ><br>
>>> > <a href="http://it.wikipedia.org/wiki/IPsec#NAT_Traversal" target="_blank">http://it.wikipedia.org/wiki/IPsec#NAT_Traversal</a><br>
>>> ><br>
>>> ><br>
>>> > Inoltre nella configurazione della vodafone station è possibile<br>
>>> > attivare il<br>
>>> > NAT statico verso un singolo host (il Router VPN è l'unica interfaccia<br>
>>> > collegata alla station) oltre che impostare completamente il Port<br>
>>> > Forwarding<br>
>>> > e disabilitare il Firewall.<br>
>>> ><br>
>>> ><br>
>>> > Secondo voi è possibile effettuare questa VPN prima di fare delle prove<br>
>>> > ?<br>
>>> ><br>
>>> > Grazie<br>
>>> ><br>
>>> ><br>
>>> > _______________________________________________<br>
>>> > Wireless mailing list<br>
>>> > <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
>>> > <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
>>> ><br>
>>> _______________________________________________<br>
>>> Wireless mailing list<br>
>>> <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
>>> <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
><br>
><br>
> _______________________________________________<br>
> Wireless mailing list<br>
> <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
> <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
><br>
_______________________________________________<br>
Wireless mailing list<br>
<a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
<a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
</div></div></blockquote></div><br></div>