VPN con indirizzi IP dinamico.
Tingting Jahe
Volevo sapere una soluzione possibile per creare VPN tra 2 router, un
router con un indirizzo IP publico fisso, mentre l'altro con un
indirizzo IP assegnato dinamico.
TIA
Tingting.
mayhem
news:3C0ECDF0...@rasall.it...
se usi ipsec devi usare le dynamic crypto-map.
se usi pptp non ne ho idea :( cmq non dovrebbe essere un problema se l'ip
statico e' il server. ma io userei ipsec.
un mayhem al telefono.
--
"il dubbio non e' un crimine, semplicemente una ragionevole alternativa alla
tirannia"
Tingting Jahe
> "Tingting Jahe" <ting...@rasall.it> ha scritto nel messaggio
> news:3C0ECDF0...@rasall.it...
> > Salve tutti,
> >
> > Volevo sapere una soluzione possibile per creare VPN tra 2 router, un
> > router con un indirizzo IP publico fisso, mentre l'altro con
> > indirizzo IP assegnato dinamico.
>
> se usi ipsec devi usare le dynamic crypto-map.
> se usi pptp non ne ho idea :( cmq non dovrebbe essere un problema se l'ip
> statico e' il server. ma io userei ipsec.
>
> un mayhem al telefono.
> --
> "il dubbio non e' un crimine, semplicemente una ragionevole alternativa alla
> tirannia"
Grazie Mayhem,
Se tento di usare GRE? possibile?
Sinceramente cerco di evitare di usare IPSec (anzi non posso), perche' devo
pagare IOS con IPSec che costa di piu rispetto IOS nudo.
Allora pensavo di usare GRE.
Ciao
Ting2
--
"Ignoranza e' un crimine"
jim
Il gre e' piu' che sufficente, salvo che IP dinamico non e' possibile perche'
il tunnel deve avere un peer fisso .
augh
Ale
mayhem
> Se tento di usare GRE? possibile?
router A (locale):
int tun X
ip address 192.168.250.1 255.255.255.0
tunnel source (ip pubblico statico locale)
tunnel dest (ip pubblico statico remoto)
ip route (lan remota) 192.168.250.2
router B (remoto):
int tun X
ip address 192.168.250.2 255.255.255.0
tunnel source (ip pubblico statico remoto)
tunnel dest (ip pubblico statico locale)
ip route (lan locale) 192.168.250.1
dove locale e remoto sono valori assoluti rispetto a te.
> Sinceramente cerco di evitare di usare IPSec (anzi non posso), perche'
devo
> pagare IOS con IPSec che costa di piu rispetto IOS nudo.
>
> Allora pensavo di usare GRE.
risparmi denaro, perdi sicurezza. risparmi sul costo dell'ios e delle
eventuali espansioni, rischi che chiunque tra le due sedi possa vedere tutti
i dati che transitano, password comprese. attivita' non cosi' rara in
realta'. calcola bene i rischi a cui ti esponi.
ricorda che sei penalmante e civilmente responsabile degli eventuali
attacchi portati attraverso le tue macchine alle reti altrui.
> "Ignoranza e' un crimine"
un mayhem e noi qui cerchiamo di restare nella legalita' ;P
Tingting Jahe
jim wrote:
> Ottimo,
> Il gre e' piu' che sufficente, salvo che IP dinamico non e' possibile
> perche'
> il tunnel deve avere un peer fisso .
>
> augh
> Ale
OK, Grazie a Jim e Mayhem,
Allora niente da fare, perche' il mio capo insiste che non si deve usare
IOS con IPSec.
Pero devo cercare una soluzione per fare VPN con un indirizzo dinamico
verso un
indirizzo statico.
Poi il routers sono dei clienti, se loro vogliono piu' sicurezza basta
che comprano IOS
con IPsec... cosi' si risolve anche il problema di IP dinamico.
ancora grazie
ciao
Ting2
mayhem
> Allora niente da fare, perche' il mio capo insiste che non si deve usare
> IOS con IPSec.
> Pero devo cercare una soluzione per fare VPN con un indirizzo dinamico
> verso un
> indirizzo statico.
>
> Poi il routers sono dei clienti, se loro vogliono piu' sicurezza basta
> che comprano IOS
> con IPsec... cosi' si risolve anche il problema di IP dinamico.
la butto li ... comprare un vpn concentrator 3005 (solo 1500 euro) che
supporta pure pptp?
non ricordo se l'ios lo fa, e non ho tempo di verificare ora.
vedi te. il vpn lo supporta di sicuro.
un mayhem che odia i problemi
Tingting Jahe
mayhem wrote:
> "Tingting Jahe" <ting...@rasall.it> ha scritto nel messaggio
> news:3C17D996...@rasall.it...
> > Allora niente da fare, perche' il mio capo insiste che non si deve usare
> > IOS con IPSec.
> > Pero devo cercare una soluzione per fare VPN con un indirizzo dinamico
> > verso un
> > indirizzo statico.
> >
> > Poi il routers sono dei clienti, se loro vogliono piu' sicurezza basta
> > che comprano IOS
> > con IPsec... cosi' si risolve anche il problema di IP dinamico.
>
> la butto li ... comprare un vpn concentrator 3005 (solo 1500 euro) che
> supporta pure pptp?
> non ricordo se l'ios lo fa, e non ho tempo di verificare ora.
> vedi te. il vpn lo supporta di sicuro.
>
> un mayhem che odia i problemi
Ma per fare fare VPN se da una parte c'e' VPN concentrator dall'altra
parte ci deve essere un IOS che supporta IPSec se questo router ha
indirizzio dinamico giusto?
non lo so se mi va bene pptp (e roba di M$ giusto?) credo dietro questi
benedetti router dobiamo mettere AS/400...
Il problema che devo creare un VPN senza IPSec con un nodo IP statico
e l'altro nodo con IP dinamico.
comunque grazie Mayhem, buono a sapere a proposito del VPN concentrator....
btw, a me piace i problemi.... se riesco a risolvergli.... hehehe
ciao
Ting2
PS: ma quanto diavolo costa questo IOS con IPSec, molto di piu'?
mayhem
> > la butto li ... comprare un vpn concentrator 3005 (solo 1500 euro) che
> > supporta pure pptp?
> > non ricordo se l'ios lo fa, e non ho tempo di verificare ora.
> > vedi te. il vpn lo supporta di sicuro.
> Ma per fare fare VPN se da una parte c'e' VPN concentrator dall'altra
> parte ci deve essere un IOS che supporta IPSec se questo router ha
> indirizzio dinamico giusto?
un linux o un windows di sicuro. l'ios dall'ip plus in su. pure il pix te lo
do al 70 %
> non lo so se mi va bene pptp (e roba di M$ giusto?) credo dietro questi
> benedetti router dobiamo mettere AS/400...
ma qualsiasi cosa parla tcp/ip, il pptp e' la scatola in cui infili i
pacchetti veri per fargli attraversare la rete.
sia pptp, l2p, ipsec, gre o che ne so io, ai due hosts e' indifferente.
> Il problema che devo creare un VPN senza IPSec con un nodo IP statico
> e l'altro nodo con IP dinamico.
pptp lo prevede, come ipsec. e' una connessione verso un server nella
fattispecie.
> comunque grazie Mayhem, buono a sapere a proposito del VPN
concentrator....
a me non piace moltissimo come macchina, odio le interfaccine web. ma
funziona bene mi sembra.
> btw, a me piace i problemi.... se riesco a risolvergli.... hehehe
io faccio wolf di 4o nome ;P
> PS: ma quanto diavolo costa questo IOS con IPSec, molto di piu'?
poche centinaia di mila lire. per questo non capisco il tuo capo.
un mayhem e la neve dentro la macchina :(
Tingting Jahe
> "Tingting Jahe" <ting...@rasall.it> ha scritto nel messaggio
> news:3C1961D8...@rasall.it...
>
> > > la butto li ... comprare un vpn concentrator 3005 (solo 1500 euro) che
> > > supporta pure pptp?
> > > non ricordo se l'ios lo fa, e non ho tempo di verificare ora.
> > > vedi te. il vpn lo supporta di sicuro.
>
> > Ma per fare fare VPN se da una parte c'e' VPN concentrator dall'altra
> > parte ci deve essere un IOS che supporta IPSec se questo router ha
> > indirizzio dinamico giusto?
>
> un linux o un windows di sicuro. l'ios dall'ip plus in su. pure il pix te lo
> do al 70 %
Qui abbiamo un pocchino "allergie" di linux (non parliamo windows)
usiamo FreeBSD. E ho paura che nessuno ha avuto risultato concreti con
gli "esperimenti" di VPN tra FreeBSD e PIX (usando IPSec).
> > non lo so se mi va bene pptp (e roba di M$ giusto?) credo dietro questi
> > benedetti router dobiamo mettere AS/400...
>
> ma qualsiasi cosa parla tcp/ip, il pptp e' la scatola in cui infili i
> pacchetti veri per fargli attraversare la rete.
> sia pptp, l2p, ipsec, gre o che ne so io, ai due hosts e' indifferente.
>
Tu intendi dire L2TP? sono perche se L2TP e' una cosa standard
(RFC 2661), mentre PPTP e una roba di M$, dubbio che sia cosi
standard.
>
> > Il problema che devo creare un VPN senza IPSec con un nodo IP statico
> > e l'altro nodo con IP dinamico.
>
> pptp lo prevede, come ipsec. e' una connessione verso un server nella
> fattispecie.
>
> > comunque grazie Mayhem, buono a sapere a proposito del VPN
> concentrator....
>
> a me non piace moltissimo come macchina, odio le interfaccine web. ma
> funziona bene mi sembra.
hehehe interfaccine web di cisco device manca solo che supportano flash ;)
>
>
> > btw, a me piace i problemi.... se riesco a risolvergli.... hehehe
>
> io faccio wolf di 4o nome ;P
>
> > PS: ma quanto diavolo costa questo IOS con IPSec, molto di piu'?
>
> poche centinaia di mila lire. per questo non capisco il tuo capo.
In realta vogliamo togliere un servizio che permette clienti a ottenere
IP fisso, perche costa troppo... allora abbiamo il problema di clienti
senza IP fisso senza IPSec che devono fare VPN. Almeno credo questo il
problema...
>
> un mayhem e la neve dentro la macchina :(
io dentro le scarpe...
>
> --
> "il dubbio non e' un crimine, semplicemente una ragionevole alternativa alla
> tirannia"
ciao
Ting2
mayhem
> > un linux o un windows di sicuro. l'ios dall'ip plus in su. pure il pix
te lo
> > do al 70 %
>
> Qui abbiamo un pocchino "allergie" di linux (non parliamo windows)
> usiamo FreeBSD. E ho paura che nessuno ha avuto risultato concreti con
> gli "esperimenti" di VPN tra FreeBSD e PIX (usando IPSec).
ma scherzi? io uso obsd perche' ha una delle migliori implemetazioni ipsec
conosciute, meglio di linux, ma pure fbsd non scherza. quindi senza problemi
li fai parlare. in un attimo ;P e pure in ipv6 se vuoi :)))
> Tu intendi dire L2TP? sono perche se L2TP e' una cosa standard
> (RFC 2661), mentre PPTP e una roba di M$, dubbio che sia cosi
> standard.
rfc 2637. sviluppato da microsoft, 3com, ur robotics e non ricordo chi
altri. supportato da obsd, linux, windows, cisco, zyxel, winroute pro e via
dicendo. direi abbastanza diffuso no? ma altrettanto debole, se paragonato
ad ipsec. pptp e' un tunnel gre con compressione (mppc) ed encryption
(mppe). gli acronimi li lascio come compito a casa ;P
> In realta vogliamo togliere un servizio che permette clienti a ottenere
> IP fisso, perche costa troppo... allora abbiamo il problema di clienti
> senza IP fisso senza IPSec che devono fare VPN. Almeno credo questo il
> problema...
allora pptp e' l'unica via percorribile. lo fai con un router cisco, con un
pix, con un vpn concentrator, con un nt4 o con un win2000.
e tu hai il server. poi gli altri si collegano con quel che vogliono.
un mayhem che ne ha messo in piedi uno giusto oggi su w2k con AD e radius
Tingting Jahe
mayhem wrote:
> ma scherzi? io uso obsd perche' ha una delle migliori implemetazioni ipsec
> conosciute, meglio di linux, ma pure fbsd non scherza. quindi senza problemi
> li fai parlare. in un attimo ;P e pure in ipv6 se vuoi :)))
>
Scusa se lo tiro troppo a lungo questa thread :-B
Io di persona non ho ancora (spero presto) messo mani per creare VPN tra
un FreeBSD client e PIX con IPSec... Pero, girando un po' ho scoperto che
tanti persone che si sono bloccati a meta strada... se non sbaglio problema
di authenticazione con shared keys... mi sembra incompatibilita di lughezza
dei chiavi... boh non lo so... Poi qualcuno dice che e' colpa di PIX che non
e' ancora tanto reliable... non lo so...
Sarebbe ottimo se si riesce fare...
Anche a me sembra troppo strano che non si riesce fare questa soluzione.
>
> > Tu intendi dire L2TP? sono perche se L2TP e' una cosa standard
> > (RFC 2661), mentre PPTP e una roba di M$, dubbio che sia cosi
> > standard.
>
> rfc 2637. sviluppato da microsoft, 3com, ur robotics e non ricordo chi
> altri. supportato da obsd, linux, windows, cisco, zyxel, winroute pro e via
> dicendo. direi abbastanza diffuso no? ma altrettanto debole, se paragonato
> ad ipsec. pptp e' un tunnel gre con compressione (mppc) ed encryption
> (mppe). gli acronimi li lascio come compito a casa ;P
>
> > In realta vogliamo togliere un servizio che permette clienti a ottenere
> > IP fisso, perche costa troppo... allora abbiamo il problema di clienti
> > senza IP fisso senza IPSec che devono fare VPN. Almeno credo questo il
> > problema...
>
> allora pptp e' l'unica via percorribile. lo fai con un router cisco, con un
> pix, con un vpn concentrator, con un nt4 o con un win2000.
> e tu hai il server. poi gli altri si collegano con quel che vogliono.
>
Probabil mente questo e la miglior via...
Grazie mayhem...
Ciao
Ting2