<p dir="ltr">Grazie allora quando ho tempo vado a fare delle prove <br>
</p>
<div class="gmail_quote">Il 09/gen/2015 10:44 "Saverio Proto" <<a href="mailto:zioproto@gmail.com">zioproto@gmail.com</a>> ha scritto:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Si se fai IPSec over L2TP funziona.<br>
Per questo chiedevo i dettagli di come volevi fare IPSec, lo puoi fare<br>
in tanti modi.<br>
<br>
Saverio<br>
<br>
Il 9 gennaio 2015 10:40, Paolo Colucci <<a href="mailto:paoloc279@gmail.com">paoloc279@gmail.com</a>> ha scritto:<br>
> Grazie per i consigli.<br>
><br>
> La VPN tra le due sedi era già fatta in IPSec ma prima di Vodafone avevano<br>
> una ADSL con modem che faceva da bridge verso il loro router/firewall VPN.<br>
> Quindi il loro tecnico voleva migrare la configurazione esistente ma ha il<br>
> problema della NAT.<br>
><br>
> I loro firewall/router VPN hanno un firmware proprietario che penso permetta<br>
> le varie tipologie di VPN:<br>
> -IPSec<br>
> -PPTP<br>
> -L2TP<br>
><br>
> Presumo si possa attivare il NAT-T (non sono entrato nella configurazione<br>
> delle macchine per verificare).<br>
><br>
><br>
> In realtà non penso a loro interessi avere una grande "sicurezza" per cui<br>
> abbiano scelto IPsec, basta che ci sia una VPN Lan-to-Lan in modo da<br>
> accedere alle varie macchine che hanno collegate nell'altra sede.<br>
><br>
><br>
> Ho trovato questa configurazione pensate possa andare bene ?<br>
><br>
><br>
><br>
><br>
> Il giorno 9 gennaio 2015 00:33, Saverio Proto <<a href="mailto:zioproto@gmail.com">zioproto@gmail.com</a>> ha<br>
> scritto:<br>
><br>
>> Non so per quale motivo vuoi fare IPSec.<br>
>> Io darei uno sguardo a questo:<br>
>> <a href="http://www.tinc-vpn.org/" target="_blank">http://www.tinc-vpn.org/</a><br>
>><br>
>> Saverio<br>
>><br>
>> Il 8 gennaio 2015 21:41, Paolo Colucci <<a href="mailto:paoloc279@gmail.com">paoloc279@gmail.com</a>> ha scritto:<br>
>> > Mi sono dimenticato di chiedere quale altre soluzioni sono possibili in<br>
>> > questo caso?<br>
>> ><br>
>> > Il 08/gen/2015 21:40 "Paolo Colucci" <<a href="mailto:paoloc279@gmail.com">paoloc279@gmail.com</a>> ha scritto:<br>
>> ><br>
>> >> La IPSec penso sia di tunnel mode essendo una Lan2lan, ma non so dire<br>
>> >> con<br>
>> >> certezza se è con cifratura AH o ESP, ma in caso penso si possa<br>
>> >> configurare.<br>
>> >><br>
>> >> Ma il nat-t su Ipsec non serve proprio a eliminare questo tipi di<br>
>> >> inconvenienti quando un lato della Vpn è nattato??<br>
>> >><br>
>> >> Inoltre il fatto che sulla Vodafone station venga instradato tutto il<br>
>> >> traffico sul router Vpn con il Nat Statico può essere utile?<br>
>> >><br>
>> >> S<br>
>> >><br>
>> >> Il 08/gen/2015 21:18 "Saverio Proto" <<a href="mailto:zioproto@gmail.com">zioproto@gmail.com</a>> ha scritto:<br>
>> >>><br>
>> >>> IPSec e NAT non vanno sempre d'accordo.<br>
>> >>> Devi dare dettagli sulla tua implementazione di IPSec.<br>
>> >>> Se vuoi fare delle SA IPSec Tunnel Mode classiche con il NAT non<br>
>> >>> funzionano:<br>
>> >>><br>
>> >>> <a href="https://tools.ietf.org/html/rfc3715#section-2" target="_blank">https://tools.ietf.org/html/rfc3715#section-2</a><br>
>> >>><br>
>> >>> la VPN Lan to Lan si può fare, ma non si puo fare con IPSec se c'è un<br>
>> >>> NAT di mezzo<br>
>> >>><br>
>> >>> Saverio<br>
>> >>><br>
>> >>><br>
>> >>> Il 8 gennaio 2015 20:59, Paolo Colucci <<a href="mailto:paoloc279@gmail.com">paoloc279@gmail.com</a>> ha<br>
>> >>> scritto:<br>
>> >>> > Salve a tutti, ho un quesito da proporvi riguardo la fattibilità di<br>
>> >>> > una<br>
>> >>> > VPN<br>
>> >>> > IpSec Lan-to-Lan di cui una dietro Nat.<br>
>> >>> ><br>
>> >>> ><br>
>> >>> > SEDE A:<br>
>> >>> > router/server VPN con ip pubblico statico su cui già sono attive<br>
>> >>> > altre<br>
>> >>> > VPN<br>
>> >>> > con altre sedi<br>
>> >>> ><br>
>> >>> > SEDE B:<br>
>> >>> > il router/server VPN dovrà essere messo in cascata ad una Vodafone<br>
>> >>> > Station,<br>
>> >>> > sulla quale non è disponibile la configurazione come Bridge per dare<br>
>> >>> > l'ip<br>
>> >>> > pubblico al router VPN.<br>
>> >>> ><br>
>> >>> > Secondo un tecnico non è possibile fare una VPN Lan-to-Lan se un<br>
>> >>> > peer<br>
>> >>> > ha un<br>
>> >>> > indirizzo Privato.<br>
>> >>> ><br>
>> >>> > Ho visto per le VPN Ipsec esiste il NAT Traversal che viene incontro<br>
>> >>> > a<br>
>> >>> > questi tipi di problemi:<br>
>> >>> ><br>
>> >>> > <a href="http://it.wikipedia.org/wiki/IPsec#NAT_Traversal" target="_blank">http://it.wikipedia.org/wiki/IPsec#NAT_Traversal</a><br>
>> >>> ><br>
>> >>> ><br>
>> >>> > Inoltre nella configurazione della vodafone station è possibile<br>
>> >>> > attivare il<br>
>> >>> > NAT statico verso un singolo host (il Router VPN è l'unica<br>
>> >>> > interfaccia<br>
>> >>> > collegata alla station) oltre che impostare completamente il Port<br>
>> >>> > Forwarding<br>
>> >>> > e disabilitare il Firewall.<br>
>> >>> ><br>
>> >>> ><br>
>> >>> > Secondo voi è possibile effettuare questa VPN prima di fare delle<br>
>> >>> > prove<br>
>> >>> > ?<br>
>> >>> ><br>
>> >>> > Grazie<br>
>> >>> ><br>
>> >>> ><br>
>> >>> > _______________________________________________<br>
>> >>> > Wireless mailing list<br>
>> >>> > <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
>> >>> > <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
>> >>> ><br>
>> >>> _______________________________________________<br>
>> >>> Wireless mailing list<br>
>> >>> <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
>> >>> <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
>> ><br>
>> ><br>
>> > _______________________________________________<br>
>> > Wireless mailing list<br>
>> > <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
>> > <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
>> ><br>
>> _______________________________________________<br>
>> Wireless mailing list<br>
>> <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
>> <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
><br>
><br>
><br>
> _______________________________________________<br>
> Wireless mailing list<br>
> <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
> <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
><br>
_______________________________________________<br>
Wireless mailing list<br>
<a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
<a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
</blockquote></div>