Andrea Beggi

You can fool some people sometimes but you can't fool all the people all the time.

VPN e indirizzi dinamici

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Mi sono trovato nella necessità di stabilire una connessione VPN tra una sede ed un ufficio distaccato. Ho a disposizione due firewall Zyxel ZyWall 5 e ZyWall 10 (quest’ultimo fuori produzione).
Questi due ottimi prodotti sono in grado di funzionare come endpoint di una VPN IPSec; è una soluzione che ho già usato in passato ed è molto comoda per facilità di configurazione, sicurezza e completa trasparenza dal lato LAN.
Questa volta però sono scettico: l’ufficio periferico non ha un IP fisso, e non lo può avere in tempi ragionevoli. La documentazione dice che la configurazione è supportata, ma sento puzza di bruciato; decido di fare comunque un tentativo.
Dopo tre tentativi e un paio di upgrade di entrambi i firmware, devo ricredermi: funziona!
Naturalmente la connessione può essere iniziata solo dal lato dell’IP dinamico, ma una volta stabilita, le due reti si vedono perfettamente, ed in modo bidirezionale.
Il segreto è lasciare a 0.0.0.0 la definizione della rete remota sull’endpoint provvisto di IP fisso.

72 Commenti

Francesco | #

Salve,
anch’io uso uno ZyWall 5 e il VPN Client, ho seguito il mini howto trovato sul sito della ZyXel, ma quando provo a connettermi:

7-17: 14:48:58.671 My Connections\Client VPN – Initiating IKE Phase 1 (Hostname=xxxxx.dyndns.org) (IP ADDR=196.203.xxx.xxx)
7-17: 14:48:58.671 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
7-17: 14:49:14.375 My Connections\Client VPN – message not received! Retransmitting!
7-17: 14:49:14.375 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (Retransmission)
7-17: 14:49:29.375 My Connections\Client VPN – message not received! Retransmitting!
7-17: 14:49:29.375 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (Retransmission)
7-17: 14:49:44.375 My Connections\Client VPN – message not received! Retransmitting!
7-17: 14:49:44.375 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (Retransmission)
7-17: 14:49:59.375 My Connections\Client VPN – Exceeded 3 IKE SA negotiation attempts

volevo chiedere, quali porte/regole è necessario aprire/impostare sullo ZyWall per la VPN?

grazie

Dario | #

Per Francesco

Per configurazioni lato Zywall 5
– Regola firewall WAN to WAN/Zyxel
Permit Source ANY Dest ANY IPSEC_TUNNEL(ESP:0)
Permit Source ANY Dest ANY IKE(UDP:500)

Mike | #

ciao a tutti, ho uno zywall5 e uno zywall5 utm
con vpn client accedo a 5utm ma non a 5. le configurazioni dei router sono uguali, stesso firmware, inoltre non riesco a pingare nessun indirizzo della LAN di destinazione a parte quello dello zywall. c’è qualcuno in grado di darmi una dritta? grazie in anticipo.
mike

Cicco | #

Ciao a tutti,
utilizziamo con profitto un Zywall 5 da diversi anni.
Ora abbiamo un problema. Una delle regole attivate sul firewall è una connesione attraverso un clinet cisco ad un certo ip fisso esterno (lan to wan). La regola funziona da diverso tempo.
Abbiamo scoperto solo ora che è possibile eseguire solo una connessione: cioè se ci sono 2 pc in lan che attivano il client cisco (hanno utenti e pwd diverse) su quell’ip solo il primo dei 2 riesce ad entrare. Secondo voi quale è il problema ?

Roberto | #

Caro Andrea,
non so come ringraziarti.
Finalmente sono riuscito a configurare questa vpn.
ottimo lavoro. veramente ottimo. Mi hai aperto gli occhi su un mondo nuovo.

Tutto funziona, nonostante la mancata assistenza di Fastweb che non ha accettato di gestire la NAT T sul loro router.
Di due una: o non serve o è già configurato con il NAT T ed il “genio” con cui ho parlato al telefono non ha neppure capito di cosa parlavo. Io propendo per la seconda ;-))

Alessio | #

Secondo voi è possibile configurare una VPN tra 2 pc con IP dinamico?

andrea | #

Ciao, nella mia sede centrale ho aggiunto uno zywall 5 per consentire connessioni VPN dall’esterno da postazioni mobili (con ip dinamico) che utilizzano “SSH sentinel”.
Queste postazioni devono solo usare servizi interni e non pubblicare servizi.
Questo Zywall non è è non può diventare il default gw della LAN, per cui avrei la necessità di:
– assegnare un ip fisso della lan al client vpn, ma non ci riesco
– nattare tutto il traffico proveniente dalla VPN su un ip della LAN, ma non riesco a capire quali regole di firewall/NAT devo applicare.
Se qualcuno riesce ad aiutarmi, preferirei la seconda soluzione.
Grazie

Mauro | #

Ho un problema con 2 ZyWall-35 creando una VPN tra 2 connessioni Fastweb una HDSL a 4Mb/s ed una SHDSL a 2Mb/s entrambe con IP pubblici.
I 2 ZyWall sono anche utilizzati in NAT per navigare e reinstradare i servizi di posta e web su server interni da entrambe le parti.
Ho trovato in rete degli esempi di configurazioni VPN, anche se nessuna con ZyWall-35, ma quando configuro il tutto e poi provo a fare la chiamata o via web o via ping sull’altra rete la connessione fallisce e non viene attivata la VPN.

Sede1:
IP Wan1 : 85.xxx.xxx.82 mask 255.255.255.248
IP Router : 85.xxx.xxx.81
IP LAN : 192.168.210.xxx/24

Sede2:
IP Wan1 : 89.xxx.xxx.18 mask 255.255.255.252
IP Router : 89.xxx.xxx.17
IP LAN : 192.168.211.xxx/24

Ho verificato anche che nelle policy Wan1 to Wan1/ZyWall sia aperta la porta UDP 500 (IKE) da entrambe le parti ma nonostante ciò non funziona.

Qualsiasi consiglio è bene accetto.

Grazie.

physio | #

ciao a tutti, anche se il post e’ vecchio vedo che interessa ancora a molti.
anche io ho uno zywall 5 e sto valutando di fare una vpn tra 2 uffici. ho ip fisso su entrambi gli uffici.
l’unica mia indecisione e’ la velocita’ della vpn. indicativamente quanto si impiega ad aprire un documento word da 100 k? cercare di aprire un db access97 e’ fantascenza?

Roberto Attianese | #

Forse potrebbe essere utile ma per chi non ha un ip fisso e vorrebbe avere una VPN virtuale può utilizzare il programma hamachi. (www.hamachi.it)
Funziona…
ciao a tutti

the bestia | #

scusate raga, ma ho bisogno di un aiuto….passo subito al sodo:1.come faccio per arrivare alla finestra di login di un router zywall5? 2.visto che lavoro in un’ufficio e non posso usare e-mule per il suddetto router, come posso fare per aprire le porte??( pultroppo ho perso la tessera con la password e non posso resettare il router manualmente)…..AIUTATEMI PER FAVORE

Gneo | #

Salve a tutti,
ho due postazioni (casa + ufficio) e vorrei collegarle tramite vpn. In entrambe ho adsl alice con gate della pirelli e ip pubblico dinamico. Per realizzare la vpn ho a disposizione 2 firewall zywall 5 ed ho registrato due dns su dydns.

Ho già fatto diverse prove ma senza alcun risultato… quindi chiedo aiuto. Ho visto che avete configurato con successo + vpn con zywall.

Gli zywall sono in configurazione router, le due lan non hanno ip sovrapposti (una in classe 10 e una in classe 192).

Le due configurazioni sono le seguenti, ma la VPN non va in up. L’errore è “IKE cannot resolve Primary secure gateway adress”. Non ho configurato nessun port forwarding sugli zywall e sui router. Qualche consiglio? Non so proprio cosa sbaglio. Grazie

Configurazione dell’interfaccia LAN UFFICIO:
IP dello zywall: 10.14.x.x
subnet: 255.255.255.224
rip disabilitato
dhcp disabilitato

Configurazione dell’interfaccia WAN UFFICIO:
Encapsulation: ethernet
service type: standard
WAN IP ZYWALL: 192.168.y.y
SUBNET: 255.255.255.0
GATEWAY: 192.168.y.z (ip del router adsl)
NAT abilitato

Configurazione VPN gateway policy
NAT TRAVERSAL disabilitato
MY ADDRESS 192.168.y.y
Primary remote gateway: casa.dyndns.org
Authentication key
pre-shared: pippo
local id type: dns
Content: ufficio.dyndns.org
Peer ID type: DNS
Content: casa.dyndns.org
(le altre di impostazioni di encrypt sono quelle di default)

Configurazione VPN network policy
Active: yes
allow netbios broadcast traffic: yes

Local network
Address Type: subnet
Starting ip: 10.14.x.0
Subnet: 255.255.255.224

Remote Network
Address Type: subnet
Starting ip: 192.168.y.0
Subnet: 255.255.255.240

Ipsec proposal (le impostazioni di default dello zywall)

Il Firewall dello zywall è provvisoriamente disabilitato

*************** CASA *************************
Configurazione dell’interfaccia LAN CASA:
IP dello zywall: 192.168.y.y
subnet: 255.255.255.240
rip disabilitato
dhcp disabilitato

Configurazione dell’interfaccia WAN della sede:
Encapsulation: ethernet
service type: standard
WAN IP ZYWALL: 192.168.z.a
SUBNET: 255.255.255.0
GATEWAY: 192.168.z.b (ip del router adsl)
NAT abilitato

Configurazione VPN gateway policy
NAT TRAVERSAL disabilitato
MY ADDRESS: 192.168.z.a
Primary remote gateway: ufficio.dyndns.org
Authentication key
pre-shared: pippo
local id type: DNS
Content: casa.dyndns.org
Peer ID type: DNS
Content: ufficio.dyndns.org
(le altre di impostazioni di encrypt sono quelle di default)

Configurazione VPN network policy
Active: yes
allow netbios broadcast traffic: yes

Local network
Address Type: subnet
Starting ip: 192.168.y.0
Subnet: 255.255.255.240

Remote Network
Address Type: subnet
Starting ip: 10.14.x.0
Subnet: 255.255.255.224

Ipsec proposal (le impostazioni di default dello zywall)

Simone | #

Ciao a tutti,
mi aggancio al problema di Gneo.
Anche io vorrei creare un tunnel vpn tra due reti connesse ad internet tramite una connessione AliceADSL.
In entrambe le connessioni non uso il router Pirelli fornitomi dalla Telecom ma un Linksys WAG325N (in cui posso settare il port forwarding ed il IPSec passthroug).
Ho a disposizione 3 Zywall:
– Zywall 10
– Zywall 10 II
– Zywall 2
Ho provato in LAN (192.168.2.x a cui erano collegate le WAN degli Zywall) a configurare un tunnel tra lo Zywall 10 II e lo Zywall 2 ed ho verificato che le due sottoreti create (192.168.10.x creata dallo Zywall 2 e la 192.168.1.x creata dallo Zywall 10 II) comunicano perfettamente.
Quello che vorrei fare a questo punto è utilizzare lo Zywall 2 nella sottorete creata dal secondo router ADSL per connettere in VPN le sue reti.
Innanzitutto ho notato che non posso impostare il nome casa.dyndns.biz del remote gateway perchè viene richiesto specificamente un IP, per cui ho verificato l’ip pubblico del remote gateway ed ho inserito quello (ho mantenuto sempre il router ADSL acceso ed ho verificato poi che non avesse cambiato ip).
Quello che ho verificato però è che la connessione non viene stabilita, per lo meno, ho verificato che non riesco a pingare l’IP della LAN del firewall remoto.
Ho letto i post riguardo l’utilizzo dei firewall sotto NAT ma non sono ancora riuscito a capire come e cosa va forwardato dal router ADSL verso l’IP della WAN del firewall (che è nella LAN del router).
Potete aiutarmi a capire come configurare i firewall ed i router per permettere ciò?
Grazie mille in anticipo.

lucia | #

Ciao a tutti

ho anch’io un problema di vpn/Fastweb.
Espongo.
Devo collegarmi col pc portatile a un pc in azienda via vpn poi remote desktop.
Se utilizzo la chiavetta USB (vodafone) tutto funziona perfettamente, invece con Fastweb non c’è verso (ovviamente con fastweb tutto il resto funziona).
Presa dalla disperazione ho tirato fuori dal fondo di un cassetto un veccho laptop che gira con Win 2000 (gli altri 2 hanno Xp e Vista) e, magia, quello non fa storie. Si connette che è una meraviglia.
Premettendo che sono assolutamente u-tonta e che di reti non ci capisco una cicca, mi pare però di intuire che l’inghippo potrebbe stare nel sistema operativo (grazie zio Bill), in qualche funzionalità (filtro?) che Xp ha e che prima non c’era.
Ho stressato all’inverosimile i network manager aziendali, ho fatto 500 telefonate ai signori fastweb che all’help desk mettono persone col QI di un criceto e pure maleducati, e rispondono a grugniti, ma sono a punto morto. Qualcuno sa darmi una dritta?
Grazie
Lucia

casperix | #

Ho configurato una vpn nel Zyxel ZyWall 5 . Esiste un client linux per connettersi alla vpn dello Zyxel?
Grazie

federicos70 | #

ciao scusate.. da due zywall2 non riesco a far partire la mail con i log di controllo, ho provato diversi smtp con relativi account.. ma proprio nn ne vuole sapere.
Eppure ricordo che lo stesso firewall con firmware di qualche anno fa le facevano partire senza problemi. L’errore è di mancato raggiungimento server smtp !!

federicos70 | #

ciao scusate.. da due zywall2 non riesco a far partire la mail con i log di controllo, ho provato diversi smtp con relativi account.. ma proprio nn ne vuole sapere.
Eppure ricordo che lo stesso firewall con firmware di qualche anno fa le facevano partire senza problemi. L’errore è di mancato raggiungimento server smtp !!

Luigi | #

Ciao.
Ho un grosso problema che neppure un tecnico qualificato è riuscito a risolvermi.
Devo collegarmi allo studio con un portatile. Mi connetto alla rete con un nokia n95 e contratto della 3.
Stabilisco un tunneling con vpn client
La VPN si aggancia, ma il desktop remoto no.
Il fatto è che ha funzionato per 4 mesi, ma da giugno scorso non va più.
Provato ogni soluzione e configurazione.
Qualcuno sa dirmi se c’è una soluzione, o anche solo se con la 3 non posso più utilizzare la mia connessione remota?
Grazie infinite.

divertiamoci | #

Ciao, vorrei configurare una vpn dove nella sede 1 è presente uno zyxel p-662 mentre nella sede 2 dovrei mantenere il router Alice Gate VoIP 2 Plus Wi-Fi e vorrei mettere uno zywall 5. La sede 2 dovrà collegarsi in ts tramite la 3389 alla sede 1. Ora vorrei sapere secondo voi è possibile reindirizzare tutto il trafico che arrivo sul router “Alice Gate VoIP 2 Plus Wi-Fi” verso il “Zywall 5”?

Giovanni | #

Ciao a tutti, devo creare una vpn, come router in azienda ho un mikrotick 450g e i vari client che sono fuori sede.
Qualcuno puo indicarmi come procedere?
grazie ciao

Enrico | #

Salve,
ho uno zywall 50 in ufficio e uno zywall 100 sul server localizzato presso una WEBFARM.
Finalmente sono riuscito a stabilire il collegamento IPsec, il tunneling risulta attivo e connesso, a questo punto dal PC dell’ufficio dovrei vedere la rete sul server ?? o devo fare altri interventi ??.
Gracie cao.

Maurizio | #

Aiuto ragazzi

ho uno zywall5 e non riesco a configurare un tunnel vpn con un altro firewall, ero riuscito a far salire la vpn ma non entravo nella rete ora non so cosa sia successo che non sale piu la vpn.

mi aiutate