[Ninux-Wireless] Chiarimento Nat Statico e VPN con Vodafone Station

Paolo Colucci paoloc279 a gmail.com
Ven 9 Gen 2015 10:40:30 CET 

Grazie per i consigli.

La VPN tra le due sedi era già fatta in IPSec ma prima di Vodafone avevano
una ADSL con modem che faceva da bridge verso il loro router/firewall VPN.
Quindi il loro tecnico voleva migrare la configurazione esistente ma ha il
problema della NAT.

I loro firewall/router VPN hanno un firmware proprietario che penso
permetta le varie tipologie di VPN:
-IPSec
-PPTP
-L2TP

Presumo si possa attivare il NAT-T (non sono entrato nella configurazione
delle macchine per verificare).


In realtà non penso a loro interessi avere una grande "sicurezza" per cui
abbiano scelto IPsec, basta che ci sia una VPN Lan-to-Lan in modo da
accedere alle varie macchine che hanno collegate nell'altra sede.


Ho trovato questa
<http://www.digicom.it/digisit/faq2.nsf/0c964fe6d92884a0c1256a8d004a0986/efd6e2e78474affbc12579ff0035418e/$FILE/LANtoLANviaIPSec.pdf>configurazione
pensate possa andare bene ?




Il giorno 9 gennaio 2015 00:33, Saverio Proto <zioproto a gmail.com> ha
scritto:

> Non so per quale motivo vuoi fare IPSec.
> Io darei uno sguardo a questo:
> http://www.tinc-vpn.org/
>
> Saverio
>
> Il 8 gennaio 2015 21:41, Paolo Colucci <paoloc279 a gmail.com> ha scritto:
> > Mi sono dimenticato di chiedere quale altre soluzioni sono possibili in
> > questo caso?
> >
> > Il 08/gen/2015 21:40 "Paolo Colucci" <paoloc279 a gmail.com> ha scritto:
> >
> >> La IPSec penso sia di tunnel mode essendo una Lan2lan, ma non so dire
> con
> >> certezza se è con cifratura AH o ESP, ma in caso penso si possa
> configurare.
> >>
> >> Ma il nat-t su Ipsec non serve proprio a eliminare questo tipi di
> >> inconvenienti quando un lato della Vpn è nattato??
> >>
> >> Inoltre il fatto che sulla Vodafone station venga instradato tutto il
> >> traffico sul router Vpn con il Nat Statico può essere utile?
> >>
> >> S
> >>
> >> Il 08/gen/2015 21:18 "Saverio Proto" <zioproto a gmail.com> ha scritto:
> >>>
> >>> IPSec e NAT non vanno sempre d'accordo.
> >>> Devi dare dettagli sulla tua implementazione di IPSec.
> >>> Se vuoi fare delle SA IPSec Tunnel Mode classiche con il NAT non
> >>> funzionano:
> >>>
> >>> https://tools.ietf.org/html/rfc3715#section-2
> >>>
> >>> la VPN Lan to Lan si può fare, ma non si puo fare con IPSec se c'è un
> >>> NAT di mezzo
> >>>
> >>> Saverio
> >>>
> >>>
> >>> Il 8 gennaio 2015 20:59, Paolo Colucci <paoloc279 a gmail.com> ha
> scritto:
> >>> > Salve a tutti, ho un quesito da proporvi riguardo la fattibilità di
> una
> >>> > VPN
> >>> > IpSec Lan-to-Lan di cui una dietro Nat.
> >>> >
> >>> >
> >>> > SEDE A:
> >>> > router/server VPN con ip pubblico statico su cui già sono attive
> altre
> >>> > VPN
> >>> > con altre sedi
> >>> >
> >>> > SEDE B:
> >>> > il router/server VPN dovrà essere messo in cascata ad una Vodafone
> >>> > Station,
> >>> > sulla quale non è disponibile la configurazione come Bridge per dare
> >>> > l'ip
> >>> > pubblico al router VPN.
> >>> >
> >>> > Secondo un tecnico non è possibile fare una VPN Lan-to-Lan se un peer
> >>> > ha un
> >>> > indirizzo Privato.
> >>> >
> >>> > Ho visto per le VPN Ipsec esiste il NAT Traversal che viene incontro
> a
> >>> > questi tipi di problemi:
> >>> >
> >>> > http://it.wikipedia.org/wiki/IPsec#NAT_Traversal
> >>> >
> >>> >
> >>> > Inoltre nella configurazione della vodafone station è possibile
> >>> > attivare il
> >>> > NAT statico verso un singolo host (il Router VPN è l'unica
> interfaccia
> >>> > collegata alla station) oltre che impostare completamente il Port
> >>> > Forwarding
> >>> > e disabilitare il Firewall.
> >>> >
> >>> >
> >>> > Secondo voi è possibile effettuare questa VPN prima di fare delle
> prove
> >>> > ?
> >>> >
> >>> > Grazie
> >>> >
> >>> >
> >>> > _______________________________________________
> >>> > Wireless mailing list
> >>> > Wireless a ml.ninux.org
> >>> > http://ml.ninux.org/mailman/listinfo/wireless
> >>> >
> >>> _______________________________________________
> >>> Wireless mailing list
> >>> Wireless a ml.ninux.org
> >>> http://ml.ninux.org/mailman/listinfo/wireless
> >
> >
> > _______________________________________________
> > Wireless mailing list
> > Wireless a ml.ninux.org
> > http://ml.ninux.org/mailman/listinfo/wireless
> >
> _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20150109/76e33cd4/attachment-0001.html>

Maggiori informazioni sulla lista Wireless