Home

"I'm brave but I'm chicken shit"

VPN e indirizzi dinamici

Mi sono trovato nella necessità di stabilire una connessione VPN tra una sede ed un ufficio distaccato. Ho a disposizione due firewall Zyxel ZyWall 5 e ZyWall 10 (quest’ultimo fuori produzione).
Questi due ottimi prodotti sono in grado di funzionare come endpoint di una VPN IPSec; è una soluzione che ho già usato in passato ed è molto comoda per facilità di configurazione, sicurezza e completa trasparenza dal lato LAN.
Questa volta però sono scettico: l’ufficio periferico non ha un IP fisso, e non lo può avere in tempi ragionevoli. La documentazione dice che la configurazione è supportata, ma sento puzza di bruciato; decido di fare comunque un tentativo.
Dopo tre tentativi e un paio di upgrade di entrambi i firmware, devo ricredermi: funziona!
Naturalmente la connessione può essere iniziata solo dal lato dell’IP dinamico, ma una volta stabilita, le due reti si vedono perfettamente, ed in modo bidirezionale.
Il segreto è lasciare a 0.0.0.0 la definizione della rete remota sull’endpoint provvisto di IP fisso.


Pubblicato

in

da

Commenti

72 risposte a “VPN e indirizzi dinamici”

  1. Avatar Francesco

    Salve,
    anch’io uso uno ZyWall 5 e il VPN Client, ho seguito il mini howto trovato sul sito della ZyXel, ma quando provo a connettermi:

    7-17: 14:48:58.671 My Connections\Client VPN – Initiating IKE Phase 1 (Hostname=xxxxx.dyndns.org) (IP ADDR=196.203.xxx.xxx)
    7-17: 14:48:58.671 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
    7-17: 14:49:14.375 My Connections\Client VPN – message not received! Retransmitting!
    7-17: 14:49:14.375 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (Retransmission)
    7-17: 14:49:29.375 My Connections\Client VPN – message not received! Retransmitting!
    7-17: 14:49:29.375 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (Retransmission)
    7-17: 14:49:44.375 My Connections\Client VPN – message not received! Retransmitting!
    7-17: 14:49:44.375 My Connections\Client VPN – SENDING>>>> ISAKMP OAK MM (Retransmission)
    7-17: 14:49:59.375 My Connections\Client VPN – Exceeded 3 IKE SA negotiation attempts

    volevo chiedere, quali porte/regole è necessario aprire/impostare sullo ZyWall per la VPN?

    grazie

  2. Avatar Dario
    Dario

    Per Francesco

    Per configurazioni lato Zywall 5
    – Regola firewall WAN to WAN/Zyxel
    Permit Source ANY Dest ANY IPSEC_TUNNEL(ESP:0)
    Permit Source ANY Dest ANY IKE(UDP:500)

  3. Avatar Mike
    Mike

    ciao a tutti, ho uno zywall5 e uno zywall5 utm
    con vpn client accedo a 5utm ma non a 5. le configurazioni dei router sono uguali, stesso firmware, inoltre non riesco a pingare nessun indirizzo della LAN di destinazione a parte quello dello zywall. c’è qualcuno in grado di darmi una dritta? grazie in anticipo.
    mike

  4. Avatar Cicco
    Cicco

    Ciao a tutti,
    utilizziamo con profitto un Zywall 5 da diversi anni.
    Ora abbiamo un problema. Una delle regole attivate sul firewall è una connesione attraverso un clinet cisco ad un certo ip fisso esterno (lan to wan). La regola funziona da diverso tempo.
    Abbiamo scoperto solo ora che è possibile eseguire solo una connessione: cioè se ci sono 2 pc in lan che attivano il client cisco (hanno utenti e pwd diverse) su quell’ip solo il primo dei 2 riesce ad entrare. Secondo voi quale è il problema ?

  5. Avatar Roberto
    Roberto

    Caro Andrea,
    non so come ringraziarti.
    Finalmente sono riuscito a configurare questa vpn.
    ottimo lavoro. veramente ottimo. Mi hai aperto gli occhi su un mondo nuovo.

    Tutto funziona, nonostante la mancata assistenza di Fastweb che non ha accettato di gestire la NAT T sul loro router.
    Di due una: o non serve o è già configurato con il NAT T ed il “genio” con cui ho parlato al telefono non ha neppure capito di cosa parlavo. Io propendo per la seconda ;-))

  6. Avatar Alessio
    Alessio

    Secondo voi è possibile configurare una VPN tra 2 pc con IP dinamico?

  7. Avatar andrea

    Ciao, nella mia sede centrale ho aggiunto uno zywall 5 per consentire connessioni VPN dall’esterno da postazioni mobili (con ip dinamico) che utilizzano “SSH sentinel”.
    Queste postazioni devono solo usare servizi interni e non pubblicare servizi.
    Questo Zywall non è è non può diventare il default gw della LAN, per cui avrei la necessità di:
    – assegnare un ip fisso della lan al client vpn, ma non ci riesco
    – nattare tutto il traffico proveniente dalla VPN su un ip della LAN, ma non riesco a capire quali regole di firewall/NAT devo applicare.
    Se qualcuno riesce ad aiutarmi, preferirei la seconda soluzione.
    Grazie

  8. Avatar Mauro

    Ho un problema con 2 ZyWall-35 creando una VPN tra 2 connessioni Fastweb una HDSL a 4Mb/s ed una SHDSL a 2Mb/s entrambe con IP pubblici.
    I 2 ZyWall sono anche utilizzati in NAT per navigare e reinstradare i servizi di posta e web su server interni da entrambe le parti.
    Ho trovato in rete degli esempi di configurazioni VPN, anche se nessuna con ZyWall-35, ma quando configuro il tutto e poi provo a fare la chiamata o via web o via ping sull’altra rete la connessione fallisce e non viene attivata la VPN.

    Sede1:
    IP Wan1 : 85.xxx.xxx.82 mask 255.255.255.248
    IP Router : 85.xxx.xxx.81
    IP LAN : 192.168.210.xxx/24

    Sede2:
    IP Wan1 : 89.xxx.xxx.18 mask 255.255.255.252
    IP Router : 89.xxx.xxx.17
    IP LAN : 192.168.211.xxx/24

    Ho verificato anche che nelle policy Wan1 to Wan1/ZyWall sia aperta la porta UDP 500 (IKE) da entrambe le parti ma nonostante ciò non funziona.

    Qualsiasi consiglio è bene accetto.

    Grazie.

  9. Avatar physio
    physio

    ciao a tutti, anche se il post e’ vecchio vedo che interessa ancora a molti.
    anche io ho uno zywall 5 e sto valutando di fare una vpn tra 2 uffici. ho ip fisso su entrambi gli uffici.
    l’unica mia indecisione e’ la velocita’ della vpn. indicativamente quanto si impiega ad aprire un documento word da 100 k? cercare di aprire un db access97 e’ fantascenza?

  10. Avatar Roberto Attianese
    Roberto Attianese

    Forse potrebbe essere utile ma per chi non ha un ip fisso e vorrebbe avere una VPN virtuale può utilizzare il programma hamachi. (www.hamachi.it)
    Funziona…
    ciao a tutti

  11. Avatar the bestia
    the bestia

    scusate raga, ma ho bisogno di un aiuto….passo subito al sodo:1.come faccio per arrivare alla finestra di login di un router zywall5? 2.visto che lavoro in un’ufficio e non posso usare e-mule per il suddetto router, come posso fare per aprire le porte??( pultroppo ho perso la tessera con la password e non posso resettare il router manualmente)…..AIUTATEMI PER FAVORE

  12. Avatar Gneo
    Gneo

    Salve a tutti,
    ho due postazioni (casa + ufficio) e vorrei collegarle tramite vpn. In entrambe ho adsl alice con gate della pirelli e ip pubblico dinamico. Per realizzare la vpn ho a disposizione 2 firewall zywall 5 ed ho registrato due dns su dydns.

    Ho già fatto diverse prove ma senza alcun risultato… quindi chiedo aiuto. Ho visto che avete configurato con successo + vpn con zywall.

    Gli zywall sono in configurazione router, le due lan non hanno ip sovrapposti (una in classe 10 e una in classe 192).

    Le due configurazioni sono le seguenti, ma la VPN non va in up. L’errore è “IKE cannot resolve Primary secure gateway adress”. Non ho configurato nessun port forwarding sugli zywall e sui router. Qualche consiglio? Non so proprio cosa sbaglio. Grazie

    Configurazione dell’interfaccia LAN UFFICIO:
    IP dello zywall: 10.14.x.x
    subnet: 255.255.255.224
    rip disabilitato
    dhcp disabilitato

    Configurazione dell’interfaccia WAN UFFICIO:
    Encapsulation: ethernet
    service type: standard
    WAN IP ZYWALL: 192.168.y.y
    SUBNET: 255.255.255.0
    GATEWAY: 192.168.y.z (ip del router adsl)
    NAT abilitato

    Configurazione VPN gateway policy
    NAT TRAVERSAL disabilitato
    MY ADDRESS 192.168.y.y
    Primary remote gateway: casa.dyndns.org
    Authentication key
    pre-shared: pippo
    local id type: dns
    Content: ufficio.dyndns.org
    Peer ID type: DNS
    Content: casa.dyndns.org
    (le altre di impostazioni di encrypt sono quelle di default)

    Configurazione VPN network policy
    Active: yes
    allow netbios broadcast traffic: yes

    Local network
    Address Type: subnet
    Starting ip: 10.14.x.0
    Subnet: 255.255.255.224

    Remote Network
    Address Type: subnet
    Starting ip: 192.168.y.0
    Subnet: 255.255.255.240

    Ipsec proposal (le impostazioni di default dello zywall)

    Il Firewall dello zywall è provvisoriamente disabilitato

    *************** CASA *************************
    Configurazione dell’interfaccia LAN CASA:
    IP dello zywall: 192.168.y.y
    subnet: 255.255.255.240
    rip disabilitato
    dhcp disabilitato

    Configurazione dell’interfaccia WAN della sede:
    Encapsulation: ethernet
    service type: standard
    WAN IP ZYWALL: 192.168.z.a
    SUBNET: 255.255.255.0
    GATEWAY: 192.168.z.b (ip del router adsl)
    NAT abilitato

    Configurazione VPN gateway policy
    NAT TRAVERSAL disabilitato
    MY ADDRESS: 192.168.z.a
    Primary remote gateway: ufficio.dyndns.org
    Authentication key
    pre-shared: pippo
    local id type: DNS
    Content: casa.dyndns.org
    Peer ID type: DNS
    Content: ufficio.dyndns.org
    (le altre di impostazioni di encrypt sono quelle di default)

    Configurazione VPN network policy
    Active: yes
    allow netbios broadcast traffic: yes

    Local network
    Address Type: subnet
    Starting ip: 192.168.y.0
    Subnet: 255.255.255.240

    Remote Network
    Address Type: subnet
    Starting ip: 10.14.x.0
    Subnet: 255.255.255.224

    Ipsec proposal (le impostazioni di default dello zywall)

  13. Avatar Simone
    Simone

    Ciao a tutti,
    mi aggancio al problema di Gneo.
    Anche io vorrei creare un tunnel vpn tra due reti connesse ad internet tramite una connessione AliceADSL.
    In entrambe le connessioni non uso il router Pirelli fornitomi dalla Telecom ma un Linksys WAG325N (in cui posso settare il port forwarding ed il IPSec passthroug).
    Ho a disposizione 3 Zywall:
    – Zywall 10
    – Zywall 10 II
    – Zywall 2
    Ho provato in LAN (192.168.2.x a cui erano collegate le WAN degli Zywall) a configurare un tunnel tra lo Zywall 10 II e lo Zywall 2 ed ho verificato che le due sottoreti create (192.168.10.x creata dallo Zywall 2 e la 192.168.1.x creata dallo Zywall 10 II) comunicano perfettamente.
    Quello che vorrei fare a questo punto è utilizzare lo Zywall 2 nella sottorete creata dal secondo router ADSL per connettere in VPN le sue reti.
    Innanzitutto ho notato che non posso impostare il nome casa.dyndns.biz del remote gateway perchè viene richiesto specificamente un IP, per cui ho verificato l’ip pubblico del remote gateway ed ho inserito quello (ho mantenuto sempre il router ADSL acceso ed ho verificato poi che non avesse cambiato ip).
    Quello che ho verificato però è che la connessione non viene stabilita, per lo meno, ho verificato che non riesco a pingare l’IP della LAN del firewall remoto.
    Ho letto i post riguardo l’utilizzo dei firewall sotto NAT ma non sono ancora riuscito a capire come e cosa va forwardato dal router ADSL verso l’IP della WAN del firewall (che è nella LAN del router).
    Potete aiutarmi a capire come configurare i firewall ed i router per permettere ciò?
    Grazie mille in anticipo.

  14. Avatar lucia
    lucia

    Ciao a tutti

    ho anch’io un problema di vpn/Fastweb.
    Espongo.
    Devo collegarmi col pc portatile a un pc in azienda via vpn poi remote desktop.
    Se utilizzo la chiavetta USB (vodafone) tutto funziona perfettamente, invece con Fastweb non c’è verso (ovviamente con fastweb tutto il resto funziona).
    Presa dalla disperazione ho tirato fuori dal fondo di un cassetto un veccho laptop che gira con Win 2000 (gli altri 2 hanno Xp e Vista) e, magia, quello non fa storie. Si connette che è una meraviglia.
    Premettendo che sono assolutamente u-tonta e che di reti non ci capisco una cicca, mi pare però di intuire che l’inghippo potrebbe stare nel sistema operativo (grazie zio Bill), in qualche funzionalità (filtro?) che Xp ha e che prima non c’era.
    Ho stressato all’inverosimile i network manager aziendali, ho fatto 500 telefonate ai signori fastweb che all’help desk mettono persone col QI di un criceto e pure maleducati, e rispondono a grugniti, ma sono a punto morto. Qualcuno sa darmi una dritta?
    Grazie
    Lucia

  15. Avatar casperix
    casperix

    Ho configurato una vpn nel Zyxel ZyWall 5 . Esiste un client linux per connettersi alla vpn dello Zyxel?
    Grazie

  16. Avatar federicos70
    federicos70

    ciao scusate.. da due zywall2 non riesco a far partire la mail con i log di controllo, ho provato diversi smtp con relativi account.. ma proprio nn ne vuole sapere.
    Eppure ricordo che lo stesso firewall con firmware di qualche anno fa le facevano partire senza problemi. L’errore è di mancato raggiungimento server smtp !!

  17. Avatar federicos70
    federicos70

    ciao scusate.. da due zywall2 non riesco a far partire la mail con i log di controllo, ho provato diversi smtp con relativi account.. ma proprio nn ne vuole sapere.
    Eppure ricordo che lo stesso firewall con firmware di qualche anno fa le facevano partire senza problemi. L’errore è di mancato raggiungimento server smtp !!

  18. Avatar Luigi
    Luigi

    Ciao.
    Ho un grosso problema che neppure un tecnico qualificato è riuscito a risolvermi.
    Devo collegarmi allo studio con un portatile. Mi connetto alla rete con un nokia n95 e contratto della 3.
    Stabilisco un tunneling con vpn client
    La VPN si aggancia, ma il desktop remoto no.
    Il fatto è che ha funzionato per 4 mesi, ma da giugno scorso non va più.
    Provato ogni soluzione e configurazione.
    Qualcuno sa dirmi se c’è una soluzione, o anche solo se con la 3 non posso più utilizzare la mia connessione remota?
    Grazie infinite.

  19. Avatar divertiamoci
    divertiamoci

    Ciao, vorrei configurare una vpn dove nella sede 1 è presente uno zyxel p-662 mentre nella sede 2 dovrei mantenere il router Alice Gate VoIP 2 Plus Wi-Fi e vorrei mettere uno zywall 5. La sede 2 dovrà collegarsi in ts tramite la 3389 alla sede 1. Ora vorrei sapere secondo voi è possibile reindirizzare tutto il trafico che arrivo sul router “Alice Gate VoIP 2 Plus Wi-Fi” verso il “Zywall 5”?

  20. Avatar Giovanni
    Giovanni

    Ciao a tutti, devo creare una vpn, come router in azienda ho un mikrotick 450g e i vari client che sono fuori sede.
    Qualcuno puo indicarmi come procedere?
    grazie ciao

  21. Avatar Enrico
    Enrico

    Salve,
    ho uno zywall 50 in ufficio e uno zywall 100 sul server localizzato presso una WEBFARM.
    Finalmente sono riuscito a stabilire il collegamento IPsec, il tunneling risulta attivo e connesso, a questo punto dal PC dell’ufficio dovrei vedere la rete sul server ?? o devo fare altri interventi ??.
    Gracie cao.

  22. Avatar Maurizio
    Maurizio

    Aiuto ragazzi

    ho uno zywall5 e non riesco a configurare un tunnel vpn con un altro firewall, ero riuscito a far salire la vpn ma non entravo nella rete ora non so cosa sia successo che non sale piu la vpn.

    mi aiutate