Server VPN in alternativa a router zyxel

[Jax]

In ditta abbiamo un router Zyxel 662H che fa sia da gateway internet
nella filiale principale e anche da "centro stella" per le varie filiali
(ora come ora gestisce 8 vpn ipsec con pre-shared key), tutte con altri
routerini Zyxel (651, 661, ecc.).

Fino a qualche tempo fa non ci sono stati problemi, ma recentemente la
connessione internet ha cominciato a rallentare vistosamente,
soprattutto nel tardo pomeriggio.
Ora, sto cercando di fare un bel troubleshooting sulle possibili cause...
1) ho messo su wireshark su server e non sembra che c'entrino software
p2p, e il traffico non è mai esagerato
2) la connessione adsl ha sempre valori nominali ottimali (è una Alice
Business 20M 256F, quindi non proprio malaccio)
3) al momento della "crisi", nella maggior parte dei casi non riesco ad
accedere al router, né via HTTP né Telnet (va in timeout)
4) la "crisi" può durare anche decine di minuti, ma se spengo e
riaccendo il router la connessione poi va come una scheggia
5) a volte il router quando è in crisi, dopo un po' si resetta da solo.

Ora, è chiaro che il maggior imputato è il router, e qui veniamo
all'oggetto del post: ora come ora non saprei come sostituire il router
se non con uno uguale. Questa cosa mi ha sempre un po' dato fastidio, è
chiaro che una vpn con due router zyxel è facilissima da fare (anche
perché so farla) ma non mi piace essere vincolato a zyxel... infatti se
adesso volessi sostituire il router con uno di diversa marca non posso.
Per non contare il fatto che i 662 sono anche abbastanza difficili da
trovare in giro.
Ho provato a configurare un Cisco 877 che ho qui, ma ovviamente non
avendo esperienza ho ottenuto scarsi risultati (sono riuscito a far
funzionare il collegamento internet ma nelle vpn mi sono perso).

Una possibile soluzione sarebbe un software che, installato sul server
principale (win2003sbs), permetta di fare da VPN server, dopodiché sarei
libero di poter provare altri router...

--
Jax

[Fabio Ferrero]

On 08/09/11 18:30, Jax wrote:
> Una possibile soluzione sarebbe un software che, installato sul server
> principale (win2003sbs), permetta di fare da VPN server, dopodiché sarei
> libero di poter provare altri router...

Troppo facile: openvpn. Multipiattaforma, open source, ben documentato.

Ciao.

--
Pubblicita' regresso: http://www.ferrero.org
** Per scrivermi in mail, sostituire nutella con ferrero...
** To contact me by email, change nutella to ferrero...

[Elephant]

Fabio Ferrero wrote:

> On 08/09/11 18:30, Jax wrote:
>> Una possibile soluzione sarebbe un software che, installato sul server
>> principale (win2003sbs), permetta di fare da VPN server, dopodiché sarei
>> libero di poter provare altri router...
>
> Troppo facile: openvpn. Multipiattaforma, open source, ben documentato.

E' quello che avrei suggerito anch'io, ma devi cambiare anche l'altro lato
(o meglio, gli altri 8 lati).

Forse Jax cercava qualcosa che fosse compatibile con l'esistente.
Non conosco le VPN Zyxel, ma se come dice sono IPSEC, credo che un qualunque
Linux/BSD possa sostituire il router in oggetto.
Certo e' MOLTO piu' complicato che mettere OpenVPN ovunque.

bye

[Stefano Ferrante]

Il 08/09/2011 18:30, Jax ha scritto:

[cut]

> Ora, è chiaro che il maggior imputato è il router, e qui veniamo
> all'oggetto del post: ora come ora non saprei come sostituire il router
> se non con uno uguale. Questa cosa mi ha sempre un po' dato fastidio, è
> chiaro che una vpn con due router zyxel è facilissima da fare (anche
> perché so farla) ma non mi piace essere vincolato a zyxel... infatti se
> adesso volessi sostituire il router con uno di diversa marca non posso.
> Per non contare il fatto che i 662 sono anche abbastanza difficili da
> trovare in giro.

Ho avuto per lungo tempo Zyxel e tuttora conservo uno Zywall a pochi
centimetri dalla mia postazione.

Mi sono sempre sembrati dei giocattolini pronti ad entrare in crisi
anche per sovratemperatura (il tuo caso, forse?)

Poi sono passato a Draytek su consiglio di questo stesso nwg e devo dire
che e' un' altra storia.

La vpn e' stabile come una roccia e ne supporta di vari tipi...

www.draytek.com

HIH,

Stefano

[Jax]

Il 09/09/2011 00.23, Stefano Ferrante ha scritto:
> Il 08/09/2011 18:30, Jax ha scritto:
>
> [cut]
>

>> Ora, ￜ chiaro che il maggior imputato ￜ il router, e qui veniamo

>> all'oggetto del post: ora come ora non saprei come sostituire il router

>> se non con uno uguale. Questa cosa mi ha sempre un po' dato fastidio, ￜ
>> chiaro che una vpn con due router zyxel ￜ facilissima da fare (anche
>> perchￜ so farla) ma non mi piace essere vincolato a zyxel... infatti se

>> adesso volessi sostituire il router con uno di diversa marca non posso.
>> Per non contare il fatto che i 662 sono anche abbastanza difficili da
>> trovare in giro.
>
> Ho avuto per lungo tempo Zyxel e tuttora conservo uno Zywall a pochi
> centimetri dalla mia postazione.
>
> Mi sono sempre sembrati dei giocattolini pronti ad entrare in crisi
> anche per sovratemperatura (il tuo caso, forse?)

Potrebbe essere.

> Poi sono passato a Draytek su consiglio di questo stesso nwg e devo dire
> che e' un' altra storia.
>
> La vpn e' stabile come una roccia e ne supporta di vari tipi...
>
> www.draytek.com

Costi? Reperibilitￜ? Rivenditori in Italia? Compatibilitￜ con gli zyxel?
Chiedere di cambiare 9 router tutti insieme, quando in effetti
funzionano, ￜ un ottimo modo per essere sputati in faccia dalla direzione :D

--
Jax

[Jax]

Il 08/09/2011 22.16, Elephant ha scritto:
> E' quello che avrei suggerito anch'io, ma devi cambiare anche l'altro lato
> (o meglio, gli altri 8 lati).

Davvero? Pensavo che OpenVPN fosse compatibile... in fondo gli Zyxel
usano dei "semplici" tunnel ipsec...

> Forse Jax cercava qualcosa che fosse compatibile con l'esistente.
> Non conosco le VPN Zyxel, ma se come dice sono IPSEC, credo che un qualunque
> Linux/BSD possa sostituire il router in oggetto.
> Certo e' MOLTO piu' complicato che mettere OpenVPN ovunque.

Mi servirebbe qualcosa idiot-proof (cioￜ io) e possibilmente semplice da
gestire. Purtroppo non ho le competenze per installare/gestire un server
linux...

--
Jax

[Roberto Tagliaferri]

Jax wrote:


>
> Costi? Reperibilità? Rivenditori in Italia? Compatibilità con gli zyxel?

> Chiedere di cambiare 9 router tutti insieme, quando in effetti

> funzionano, è un ottimo modo per essere sputati in faccia dalla direzione
> :D

spider di torino se sei un rivenditore
Compatibilità: ho alcuni draytek collegati ad uno zyxel, accettano vpn pptp,
l2tp e ipsec
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu

[Mirko Borsari]

Ciao Jax in data Thu, 08 Sep 2011 18:30:14 +0200, hai scritto:

> In ditta abbiamo un router Zyxel 662H che fa sia da gateway internet
> nella filiale principale e anche da "centro stella" per le varie filiali
> (ora come ora gestisce 8 vpn ipsec con pre-shared key), tutte con altri
> routerini Zyxel (651, 661, ecc.).

sei un uomo coraggioso... :-)

> Ora, � chiaro che il maggior imputato � il router, e qui veniamo

> all'oggetto del post: ora come ora non saprei come sostituire il router

> se non con uno uguale. Questa cosa mi ha sempre un po' dato fastidio, �
> chiaro che una vpn con due router zyxel � facilissima da fare (anche
> perch� so farla) ma non mi piace essere vincolato a zyxel... infatti se

> adesso volessi sostituire il router con uno di diversa marca non posso.

perch� non puoi? zyxel lavora con ipsec quindi l'interoperabilit� �
buona. Chiaro che due zyxel � pi� semplice, ma le opzioni alla fine
sono quelle.
Quello che farei io? un router adsl solo per la connettivit� (il cisco
visto che ce l'hai) e un firewall dietro per le vpn (e le funzioni
firewall ovviamente).
Come firewall io utilizzo fortinet e ho testato vpn site-to-site con
zyxel. (se ti interessa fammi un fischio che ho un fortinet dove ti
posso fare un prezzaccio).
non banali da configurare, ma ottimi prodotti (tra l'altro in ambito
vpn possono lavorare anche in ssl).

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Nera...

L'indirizzo em@il non � da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente.

[Jax]

Il 09/09/2011 11.18, Mirko Borsari ha scritto:
> Quello che farei io? un router adsl solo per la connettivit� (il cisco
> visto che ce l'hai) e un firewall dietro per le vpn (e le funzioni
> firewall ovviamente).

Ho seguito il tuo consiglio e ho ritirato fuori dall'armadio il vecchio
ZyWall 10... poi ci smanetto su un po'.
Per il router... mi piacerebbe davvero usare il Cisco, ma ho un certo
timore reverenziale. Mi sento come se dovessi mettermi al volante di un
elicottero: che figata, posso andare dovunque e fare qualunque cosa, ma
non so manco guidarlo...
Tanto per farti un esempio, non saprei neanche come fare a fare port
forwarding (che mi serve)!

--
Jax

[Mirko Borsari]

Ciao Jax in data Fri, 09 Sep 2011 12:00:54 +0200, hai scritto:

> Il 09/09/2011 11.18, Mirko Borsari ha scritto:

>> Quello che farei io? un router adsl solo per la connettività (il cisco

>> visto che ce l'hai) e un firewall dietro per le vpn (e le funzioni
>> firewall ovviamente).
>
> Ho seguito il tuo consiglio e ho ritirato fuori dall'armadio il vecchio
> ZyWall 10... poi ci smanetto su un po'.

si, ok... ma il coraggio rimane comunque un tuo punto forte!
Se devi tenere in piedi 8 vpn con un minimo di affidabilità, mah...
Te la butto giù un po' più chiara... lascia perdere zyxel se
l'utilizzo è business e se ti serve dell'affidabilità.

> Per il router... mi piacerebbe davvero usare il Cisco, ma ho un certo
> timore reverenziale. Mi sento come se dovessi mettermi al volante di un
> elicottero: che figata, posso andare dovunque e fare qualunque cosa, ma
> non so manco guidarlo...

bhe chiaro che se non te la senti è meglio evitare. Prenditi un router
un po' più affidabile ma che abbia una gestione per te un po' più
congeniale.

> Tanto per farti un esempio, non saprei neanche come fare a fare port
> forwarding (che mi serve)!

Non hai indirizzi ip statici? Io il router adsl lo utilizzerei in
routing puro senza NAT e poi gestirei tutto da firewall.

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Nera...

L'indirizzo em@il non è da considerarsi pubblico,

[Noah Bright]

On Thu, 08 Sep 2011 18:30:14 +0200, Jax wrote:

> Una possibile soluzione sarebbe un software che, installato sul server
> principale (win2003sbs), permetta di fare da VPN server, dopodiché sarei
> libero di poter provare altri router...

C'è sempre il VPN Server incluso in W2K3 SBS...

[Stefano Ferrante]

Il 09/09/2011 09:18, Jax ha scritto:
> Il 09/09/2011 00.23, Stefano Ferrante ha scritto:

>>
>> Mi sono sempre sembrati dei giocattolini pronti ad entrare in crisi
>> anche per sovratemperatura (il tuo caso, forse?)
>
> Potrebbe essere.

assai probabile...sebbene Mirko Borsari ti abbia esplicitamente detto
quello che io non osavo.
Lascia stare Zyxel se vuoi continuita' di servizio, affidabilita'.
Ho uno Zywall10W e so quel che dico per averlo vissuto sulla mia pelle.

>> Poi sono passato a Draytek su consiglio di questo stesso nwg e devo dire
>> che e' un' altra storia.

>

> Costi? Reperibilità? Rivenditori in Italia? Compatibilità con gli zyxel?

IpSec...non avrai problemi.

> Chiedere di cambiare 9 router tutti insieme, quando in effetti

> funzionano, è un ottimo modo per essere sputati in faccia dalla
> direzione :D
>

Se gli Zyxel li hai sponsorizzati tu allora ti sei dato la zappa sui
piedi; altrimenti ci vuole coraggio ad implementare una vpn con quei
giocattoli, in ambito business.

Personalmente ho acquistato direttamente da loro, importatori italiani.
http://www.draytek-corp.it/

Contattati telefonicamente anche via Skype mi hanno fornito il listino e
spedito la merce al volo.

Ovviamente Fortinet è un gradino ancora piu' su, come suggerito da Mirko.

Io ho un Draytek Vigor 2955 con a parte il modem Vigor 120 e sono anche
sovradimensionati per le mie esigenze. A te la valutazione se salire
ancora di prestazioni e prezzo: di sicuro con Zyxel non vai da nessuna
parte...

Scusa per la franchezza...

Stefano

[meddix tuticus]

Il 09/09/2011 9.18, Jax ha scritto:
[cut]

>> Mi sono sempre sembrati dei giocattolini pronti ad entrare in crisi
>> anche per sovratemperatura (il tuo caso, forse?)
>
> Potrebbe essere.
>

una ventolina sul router no??

--
per far danni mi occorre la tua password di root

[Stefano Ferrante]

Il 09/09/2011 21:28, meddix tuticus ha scritto:
> Il 09/09/2011 9.18, Jax ha scritto:
> [cut]
>
>>> Mi sono sempre sembrati dei giocattolini pronti ad entrare in crisi
>>> anche per sovratemperatura (il tuo caso, forse?)
>>
>> Potrebbe essere.
>>
>
> una ventolina sul router no??
>

Mmhh...ammesso che possa essere una soluzione praticabile (penso ad un
ufficio dove inevitabilmente qualcuno finira' con lo smanettare sulla
ventola esterna) sempre delle baracchetta rimangono.

Ricordo bene il forum statunitense sui firewall Zyxel quante lamentele
per riavvii spontanei dei router ZyZZel riportava...

Per non parlare del supporto tecnico, a dire poco latitante...

Ovviamente IMHO,

Stefano

[Mirko Borsari]

Ciao Stefano Ferrante in data Fri, 09 Sep 2011 23:04:52 +0200, hai
scritto:

> Per non parlare del supporto tecnico, a dire poco latitante...

questo no. Diciamo che non c'è supporto per l'utente finale. Perchè
zyxel vuole (o almeno voleva) che prima ci si rivolga al partner, poi
il partner chiama zyxel. Io ho sempre ricevuto supporto abbastanza
celermente, poi quando inizi a conoscere i tecnici mandi le mail
direttamente a loro.
Il problema di zyxel è che non ho ancora visto un router che sia
construito in modo solido. Come software non sono male, anzi li
preferisco a netgear e affini, ma usati in ambito business non danno
grosse garanzie. Li uso come router domestici se mi capita qualche
installazione da qualche conoscente.
Visto che hanno una serie di firewall che spacciano per l'enterprise
(ma poi vorrei vedere chi li compra) io almeno una serie di router
enterprise la farei.

[fm]

"Jax" <nomail...@email.it> ha scritto nel messaggio
news:4e69bfe1$1...@news.x-privat.org...

> Il 08/09/2011 22.16, Elephant ha scritto:
>> E' quello che avrei suggerito anch'io, ma devi cambiare anche l'altro
>> lato
>> (o meglio, gli altri 8 lati).
>
> Davvero? Pensavo che OpenVPN fosse compatibile... in fondo gli Zyxel usano
> dei "semplici" tunnel ipsec...
>

io ci ho provato.
OpenVpn lato client, Zyxel 35 come firewall nella sede ( gestore
della VPN) ....non ci sono riuscito....:-((((

Invece, lato client con Thegreenbow Ipsec client....tutto ok, non problem.

ciao
fm

>> Forse Jax cercava qualcosa che fosse compatibile con l'esistente.
>> Non conosco le VPN Zyxel, ma se come dice sono IPSEC, credo che un
>> qualunque
>> Linux/BSD possa sostituire il router in oggetto.
>> Certo e' MOLTO piu' complicato che mettere OpenVPN ovunque.
>

> Mi servirebbe qualcosa idiot-proof (cioè io) e possibilmente semplice da

[Aladino]

Prova pfSense (www.pfsense.org)... ti puoi scricare l'appliance per
VMware per provare. Noi lo usiamo su hardware ALIX PCEngines, ed � a dir
poco eccezionale, sopratutto nella attuale versione 2 (RC3).
Se non vuoi sbattimenti, puoi prendere un device con software gi�
pre-installato da qui:
http://tinyurl.com/23s2j9a

--
Per rispondere, togliere -NOSPAM- dall'indirizzo.

[Stefano Ferrante]

"Mirko Borsari" <ne...@bsi-net.it> ha scritto nel messaggio
news:18ftxv3v...@mirkonews.bsi-net.it...

> Ciao Stefano Ferrante in data Fri, 09 Sep 2011 23:04:52 +0200, hai
> scritto:
>
>
>> Per non parlare del supporto tecnico, a dire poco latitante...
>
> questo no. Diciamo che non c'è supporto per l'utente finale. Perchè
> zyxel vuole (o almeno voleva) che prima ci si rivolga al partner, poi
> il partner chiama zyxel. Io ho sempre ricevuto supporto abbastanza
> celermente, poi quando inizi a conoscere i tecnici mandi le mail
> direttamente a loro.

Ah, ecco. Adesso mi spiego come mai non mi rispondessero neppure.
Nulla da eccepire sulla loro politica; permettimi di puntualizzare che se si
vuole che l'utente finale si rivolga al partner allora bisogna evitare di
far vendere il prodotto presso la GDO informatica oppure presso il
negozietto sotto casa che *non* sono partner.

A quel tempo (5, 6 anni fa) i partner erano ben pochi, stando al loro stesso
sito e il negozio dove lo avevo comprato non era certo in grado di
rispondere alle mie richieste.
Ovvio che ben mi guardavo dal rompere le scatole ad un partner, non avendo
acquistato presso di lui.

Alla fine mi sono stufato e ho cestinato lo Zywall....

Stefano

[Mirko Borsari]

Ciao Stefano Ferrante in data Sun, 11 Sep 2011 03:16:10 +0200, hai
scritto:

> Ah, ecco. Adesso mi spiego come mai non mi rispondessero neppure.
> Nulla da eccepire sulla loro politica; permettimi di puntualizzare che se si
> vuole che l'utente finale si rivolga al partner allora bisogna evitare di
> far vendere il prodotto presso la GDO informatica oppure presso il
> negozietto sotto casa che *non* sono partner.

per la GDO concordo, per il negozzietto un po' meno. Nel senso che
sono convinto che se il negozzietto avesse chiamato zyxel avrebbe
avuto assistenza.
Io quando ho iniziato ad usare zyxel sono diventato subito partner
(che non è niente di che, capiamoci) ma alla fine ai rivenditori
secondo me rispondono. Certo che se il rivenditore vende un router
senza sapere che roba è...

> Alla fine mi sono stufato e ho cestinato lo Zywall....

Gli zywall non sono dei brutti prodotti (almeno dal 5 in poi) tutto
sommato. Adatti ad una fascia bassa, ma non sono male. Non hanno senso
di esistere nella fascia più alta secondo me. Costano quasi come i
concorrenti (che poi in realtà non lo sono nemmeno) pur avendo
prestazioni e feature in meno.

[Jax]

Il 09/09/2011 13.05, Mirko Borsari ha scritto:
> si, ok... ma il coraggio rimane comunque un tuo punto forte!
> Se devi tenere in piedi 8 vpn con un minimo di affidabilità, mah...
> Te la butto giù un po' più chiara... lascia perdere zyxel se
> l'utilizzo è business e se ti serve dell'affidabilità.

Capisco e tengo ben in mente cosa mi dici. Ma considera che, nel mio
caso, il core non è assolutamente sulle vpn: servono "solo" a posta
elettronica e messaggistica interna. Le cose veramente importanti girano
su router Cisco + Datawan (sia HDSL che ADSL).

Comunque, in tutti questi anni (8), la parte vpn è quella che degli
zyxel mi ha dato meno problemi... anzi, direi nessun problema.
Zyxel non è stata una scelta mia, per la cronaca, ma a parte questi
problemi, se i router fossero un attimo più affidabili (*un attimo* e
non *molto*), per il resto sarebbero perfetti per l'uso che ne dobbiamo
fare.

> bhe chiaro che se non te la senti è meglio evitare. Prenditi un router
> un po' più affidabile ma che abbia una gestione per te un po' più
> congeniale.

Consigli?

> Non hai indirizzi ip statici? Io il router adsl lo utilizzerei in
> routing puro senza NAT e poi gestirei tutto da firewall.

Solo 5 ip pubblici, e ora come ora ho ben 12 napt attive (utilizzate
davvero forse 4-5, ma questa è un'altra storia - se il capo un giorno
gli viene lo sghiribizzo e vuole collegarsi al pc del lavoro, *devo*
tenergli un accesso attivo anche se lo farà una volta ogni due anni :) )

--
Jax

[Mirko Borsari]

Ciao Jax in data Sun, 11 Sep 2011 15:46:25 +0200, hai scritto:

> Comunque, in tutti questi anni (8), la parte vpn � quella che degli

> zyxel mi ha dato meno problemi... anzi, direi nessun problema.

> Zyxel non � stata una scelta mia, per la cronaca, ma a parte questi
> problemi, se i router fossero un attimo pi� affidabili (*un attimo* e

> non *molto*), per il resto sarebbero perfetti per l'uso che ne dobbiamo
> fare.

Se vuoi cominciare a restaurare un po', io inizierei a mettere della
roba seria sul centrostella e poi pian piano fai il resto.
Che poi magari ti conviene buttare tutto su mpls e via... ma queste
sono considerazioni che puoi fare solo tu.

>> bhe chiaro che se non te la senti � meglio evitare. Prenditi un router
>> un po' pi� affidabile ma che abbia una gestione per te un po' pi�
>> congeniale.
>
> Consigli?

Non saprei. Personalmente spenderei un po' a imparare cisco. Tanto
alla fine devi solo usarlo per la connessione, il resto lo gestisci
dal firewall. E comunque adesso i cisco si gestiscono anche via web,
non � il top, ma per fare quello che devi fare tu credo sia
sufficente.

>> Non hai indirizzi ip statici? Io il router adsl lo utilizzerei in
>> routing puro senza NAT e poi gestirei tutto da firewall.
>
> Solo 5 ip pubblici, e ora come ora ho ben 12 napt attive (utilizzate

> davvero forse 4-5, ma questa � un'altra storia - se il capo un giorno

> gli viene lo sghiribizzo e vuole collegarsi al pc del lavoro, *devo*

> tenergli un accesso attivo anche se lo far� una volta ogni due anni :) )

E qual'� il problema? con 5 ip ne hai in "abbondanza". Per il capo e
tutti quelli che si vogliono connettere da fuori si fa una VPN da
usare via client, ip sprecati: nessuno.

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Nera...

L'indirizzo em@il non � da considerarsi pubblico,

[Stefano Ferrante]

Il 11/09/2011 10:00, Mirko Borsari ha scritto:
> Ciao Stefano Ferrante in data Sun, 11 Sep 2011 03:16:10 +0200, hai
> scritto:
>
>> Ah, ecco. Adesso mi spiego come mai non mi rispondessero neppure.
>> Nulla da eccepire sulla loro politica; permettimi di puntualizzare che se si
>> vuole che l'utente finale si rivolga al partner allora bisogna evitare di
>> far vendere il prodotto presso la GDO informatica oppure presso il
>> negozietto sotto casa che *non* sono partner.
>
> per la GDO concordo, per il negozzietto un po' meno. Nel senso che
> sono convinto che se il negozzietto avesse chiamato zyxel avrebbe
> avuto assistenza.

Beh, non hai torto.
Anche se intendevo dire che il negozietto di turno non era assolutamente
un loro partner certificato: perche' lasciargli vendere un prodotto che
poi non potevano supportare?

Nulla in contrario, invece, ad un negozietto /partner/...

Tanto per fare lo scassaballe pignolo :-) , lasciami aggiungere che a
quel tempo, adesso non so, sul sito era chiaramente indicato il telefono
e la mail per il supporto tecnico *senza* che fosse specificato che non
era destinato all'utente finale.
Quindi sei io mando una email o telefono mi dovresti rispondere, non
fare finta di nulla.

Aggiungo che ero io ad essere di coccio (visto che non riuscivo a capire
correttamente la sintassi per la CLI dello zynos ma forse qualche minuto
con me si poteva pure passare, o no?

> Certo che se il rivenditore vende un router

> senza sapere che roba �...

Ecco, hai centrato il problema.
Di conseguenza, perche' dare in vendita a chi non sa aiutare un utente
finale un prodotto tutto sommato piu' da power user che da utonto?

>> Alla fine mi sono stufato e ho cestinato lo Zywall....
>
> Gli zywall non sono dei brutti prodotti (almeno dal 5 in poi) tutto
> sommato. Adatti ad una fascia bassa, ma non sono male. Non hanno senso

> di esistere nella fascia pi� alta secondo me. Costano quasi come i
> concorrenti (che poi in realt� non lo sono nemmeno) pur avendo

> prestazioni e feature in meno.
>

Auff...meno male...mi rincuori.
Piuttosto, il mio e' uno Zywall 10W ancora con scatola originale ed
immacolato...lo vuoi per circa...fai tu il prezzo? :-))

Ok, non sparami, scherzavo.
Tanto il mio Draytek Vigor 2955 non lo baratto, lol.

Stefano

[Mirko Borsari]

Ciao Stefano Ferrante in data Sun, 11 Sep 2011 18:50:16 +0200, hai
scritto:

> Beh, non hai torto.
> Anche se intendevo dire che il negozietto di turno non era assolutamente
> un loro partner certificato: perche' lasciargli vendere un prodotto che
> poi non potevano supportare?

per il semplice motivo che sono prodotti venduti, soldi che entrano,
classifiche scalate, e quindi più prodotti venduti, più soldi che
entrano, classifiche sempre più scalate...

> Tanto per fare lo scassaballe pignolo :-) , lasciami aggiungere che a
> quel tempo, adesso non so, sul sito era chiaramente indicato il telefono
> e la mail per il supporto tecnico *senza* che fosse specificato che non
> era destinato all'utente finale.

Ricordo questa cosa. Ma c'era un inghippo che adesso non mi viene in
mente.

> Auff...meno male...mi rincuori.
> Piuttosto, il mio e' uno Zywall 10W ancora con scatola originale ed
> immacolato...lo vuoi per circa...fai tu il prezzo? :-))

io oltre al 10W ho anche un 5... interessato?
Ma ho anche un fortinet 60A (vecchio, ma vale n zyxel) e un 80C nuovo
se ti interessa... :-)

> Tanto il mio Draytek Vigor 2955 non lo baratto, lol.

di draytek ne ho uno in una filiale inglese di un'azienda che seguo,
c'ho messo le mani un paio di volte e non ho approfondito molto ma non
sembra male. Non ho ancora avuto l'opportunità di averne uno realmente
sotto mano, ma ne parlano tutti abbastanza bene.

[Cristian "sengo" Mammoli]

On 09/10/2011 05:35 PM, fm wrote:

> io ci ho provato.
> OpenVpn lato client, Zyxel 35 come firewall nella sede ( gestore
> della VPN) ....non ci sono riuscito....:-((((

e grazie, il server parla ipsec e il client openvpn: come collegarsi a
un server web con un client ftp

> Invece, lato client con Thegreenbow Ipsec client....tutto ok, non problem.
>

e arigrazie, the green bow è un client ipsec

[Stefano Ferrante]

Il 11/09/2011 20:55, Mirko Borsari ha scritto:

[cut]

>> Auff...meno male...mi rincuori.
>> Piuttosto, il mio e' uno Zywall 10W ancora con scatola originale ed
>> immacolato...lo vuoi per circa...fai tu il prezzo? :-))
>
> io oltre al 10W ho anche un 5... interessato?
> Ma ho anche un fortinet 60A (vecchio, ma vale n zyxel) e un 80C nuovo
> se ti interessa... :-)

Ho un'idea: mettiamo in cascata il tuo 5 con il mio 10!
Chissa' che non ne venga fuori uno decente ;-) magari un 15W

>> Tanto il mio Draytek Vigor 2955 non lo baratto, lol.
>
> di draytek ne ho uno in una filiale inglese di un'azienda che seguo,
> c'ho messo le mani un paio di volte e non ho approfondito molto ma non
> sembra male. Non ho ancora avuto l'opportunità di averne uno realmente
> sotto mano, ma ne parlano tutti abbastanza bene.
>

Ovviamente, essendo io un power user residenziale non faccio certo testo
ma dovunque leggo che sono prodotti che rendono quello che li si e' pagati.
Naturalmente c'e' di meglio spendendo di piu' ma sembrano essere dei
best buy.

Onestamente per una rete domestica, quale la mia, il 2955 e'
sovradimensionato ma sono uno che non ama avere catorcetti sulla
scrivania. Gli ho anche attaccato uno switch Procurve managed per
realizzare una bella vlan da dedicare agli ospiti.
Sono matto?

S.

[Jax]

Il 11/09/2011 16.32, Mirko Borsari ha scritto:
> Se vuoi cominciare a restaurare un po', io inizierei a mettere della
> roba seria sul centrostella e poi pian piano fai il resto.

Assolutamente, l'importante è che sia compatibile con l'esistente e che
non costi una fortuna :)

> Che poi magari ti conviene buttare tutto su mpls e via... ma queste
> sono considerazioni che puoi fare solo tu.

L'mpls l'avevamo testato qualche anno fa e non è stato il massimo.
Vero che all'epoca avevamo di mezzo anche il protocollo DLC, ma comunque
avevamo tempi di risposta nell'ordine dei 50/60 ms, quando adesso con
datawan abbiamo...
Esecuzione di Ping 172.24.0.3 con 32 byte di dati:
Risposta da 172.24.0.3: byte=32 durata=23ms TTL=62
(in una filiale arrivo addirittura a 13ms)

Può sembrare poca differenza, ma in telnet vuol dire molto...
Poi ci sta che non abbiano configurato tutto correttamente, ma più che
fare un contratto top business sarcazzo con telecom e avere un tecnico
dedicato (che non mi sembrava uno scemo), direi che avevamo fatto tutto
il fattibile.

> Non saprei. Personalmente spenderei un po' a imparare cisco. Tanto
> alla fine devi solo usarlo per la connessione, il resto lo gestisci
> dal firewall. E comunque adesso i cisco si gestiscono anche via web,

> non è il top, ma per fare quello che devi fare tu credo sia
> sufficente.

Ci avevo già provato, mi ci rimetterò. Purtroppo il tempo è quello che è...

> E qual'è il problema? con 5 ip ne hai in "abbondanza". Per il capo e

> tutti quelli che si vogliono connettere da fuori si fa una VPN da
> usare via client, ip sprecati: nessuno.

E' sempre un connubio comodità vs. sicurezza. Diciamo che, viste le
dimensioni della ditta e le pretese che hanno, preferisco fare un napt:
non ho certo voglia di andare a casa di chiunque mi chieda di poter
lavorare da casa a configurargli una VPN.
Comunque, per curiosità (e visto che il tuo discorso non fa una piega),
che software client VPN dovrei usare nel mio caso?
Tempo fa avevo provato a configurare l'ipsec di WinXP ma non c'ero
riuscito... e pagare per lo Zyxel VPN Client mi scoccerebbe parecchio.

Ah, finora non ho mai avuto intrusioni, se da oggi cominciano so chi
ringraziare eh? :D

--
Jax

[Mirko Borsari]

Ciao Stefano Ferrante in data Sun, 11 Sep 2011 23:14:21 +0200, hai
scritto:

> Ho un'idea: mettiamo in cascata il tuo 5 con il mio 10!
> Chissa' che non ne venga fuori uno decente ;-) magari un 15W

wow... lo voglio!!!

> Onestamente per una rete domestica, quale la mia, il 2955 e'
> sovradimensionato ma sono uno che non ama avere catorcetti sulla
> scrivania. Gli ho anche attaccato uno switch Procurve managed per
> realizzare una bella vlan da dedicare agli ospiti.
> Sono matto?

mah, direi di no. io ho una configurazione ancora più spinta
(router+firewall+gigabit+ap) anche se poi dietro ci sono dei server,
quindi un po' più giustificata.
C'è da dire però che se non avessi i server dietro metterei su un bel
routerino tuttofare buono (magari proprio un draytek), non mi farei
tante pippe ed eviterei di avere quintali di cavi che girano...
Comunque in genere la penso come te, spendere di più per avere roba
buona che non rompe la balle.

[Mirko Borsari]

Ciao Jax in data Mon, 12 Sep 2011 10:08:32 +0200, hai scritto:

> Il 11/09/2011 16.32, Mirko Borsari ha scritto:
>> Se vuoi cominciare a restaurare un po', io inizierei a mettere della
>> roba seria sul centrostella e poi pian piano fai il resto.
>
> Assolutamente, l'importante è che sia compatibile con l'esistente e che
> non costi una fortuna :)

la compatibilità te la da ipsec. il costo dipende da quello che
intende uno per fortuna. per me spendere 1000eur per un firewall per
un'azienda non è una fortuna (poi ovviamente bisogna valutare se i
1000eur sono sufficenti, ma alla fine è tutto rapportato)

> L'mpls l'avevamo testato qualche anno fa e non è stato il massimo.
> Vero che all'epoca avevamo di mezzo anche il protocollo DLC, ma comunque
> avevamo tempi di risposta nell'ordine dei 50/60 ms, quando adesso con
> datawan abbiamo...
> Esecuzione di Ping 172.24.0.3 con 32 byte di dati:
> Risposta da 172.24.0.3: byte=32 durata=23ms TTL=62
> (in una filiale arrivo addirittura a 13ms)

io ho notato che dipende anche dalla linea.
Lavoro per una multinazionale che ha tutte le sedi in mpls e dalla
sede che gestisco io sono spesso sotto i 10ms in un'altra che ho
gestito per un periodo invece non scendeva mai sotto i 20ms.

>> Non saprei. Personalmente spenderei un po' a imparare cisco. Tanto
>

> Ci avevo già provato, mi ci rimetterò. Purtroppo il tempo è quello che è...

il punto è che se gli devi far fare solo da router la configurazione è
veramente minimal. Non li conosco nemmeno io a menadito i cisco, ma
documentazione alla mano ce ne vieni fuori.

> E' sempre un connubio comodità vs. sicurezza. Diciamo che, viste le
> dimensioni della ditta e le pretese che hanno, preferisco fare un napt:

così non hai ne uno ne l'altro... :-)

> non ho certo voglia di andare a casa di chiunque mi chieda di poter
> lavorare da casa a configurargli una VPN.

scherzi? utenti VPN connessi ad Active directory e pacchetto vpn
client autoinstallante con tutti i paramentri già inseriti... Passi
l'msi ha chi lo vuole e via... e poi inizi ad installarlo su tutti i
notebook che ti passano tra le mani.

> Comunque, per curiosità (e visto che il tuo discorso non fa una piega),
> che software client VPN dovrei usare nel mio caso?

uso il client fortinet che è personalizzabile con tutte le
configurazioni in fase di installazioni.

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Nera...

L'indirizzo em@il non è da considerarsi pubblico,

[Jax]

Il 13/09/2011 10.01, Mirko Borsari ha scritto:
> la compatibilità te la da ipsec. il costo dipende da quello che
> intende uno per fortuna. per me spendere 1000eur per un firewall per
> un'azienda non è una fortuna (poi ovviamente bisogna valutare se i
> 1000eur sono sufficenti, ma alla fine è tutto rapportato)

Mi sparano :)

> io ho notato che dipende anche dalla linea.
> Lavoro per una multinazionale che ha tutte le sedi in mpls e dalla
> sede che gestisco io sono spesso sotto i 10ms in un'altra che ho
> gestito per un periodo invece non scendeva mai sotto i 20ms.

Visti i costi attuali delle datawan, mi sa che ne riparleremo presto.

> scherzi? utenti VPN connessi ad Active directory e pacchetto vpn
> client autoinstallante con tutti i paramentri già inseriti... Passi
> l'msi ha chi lo vuole e via... e poi inizi ad installarlo su tutti i
> notebook che ti passano tra le mani.

Eh. A esser capaci è tutto facile...
Non è che magari fai un salto a Piacenza che ti offro una pizza, ma di
quelle buone buone? ;)

--
Jax

[ValeRyo Saeba]

"Jax" <nomail...@email.it> ha scritto nel messaggio
news:4e6f2693$1...@news.x-privat.org

> Non è che magari fai un salto a Piacenza che ti offro una pizza, ma di
> quelle buone buone? ;)

LOL
Allora se passi da Napoli ti offro un piatto di tortelli alle erbette :-)


--
ValeRyo
XT600 "Katoki Pajama" - http://www.slimmit.com/go.asp?7Y9
GamerTag: http://card.mygamercard.net/IT/nxe/ValeRyo76.png

[Jax]

Il 13/09/2011 11.53, ValeRyo Saeba ha scritto:
> "Jax"<nomail...@email.it> ha scritto nel messaggio
> news:4e6f2693$1...@news.x-privat.org
>
>> Non è che magari fai un salto a Piacenza che ti offro una pizza, ma di
>> quelle buone buone? ;)
>
> LOL
> Allora se passi da Napoli ti offro un piatto di tortelli alle erbette :-)

Ok hai ragione, promuoviamo le tipicità...
allora posso offrire gnocco fritto con salumi e gorgonzola + pisarei e
fasò, innaffiato da un bell'ortrugo :)

--
Jax

[ValeRyo Saeba]

"Jax" <nomail...@email.it> ha scritto nel messaggio

news:4e6f291a$1...@news.x-privat.org

> Ok hai ragione, promuoviamo le tipicità...
> allora posso offrire gnocco fritto con salumi e gorgonzola + pisarei e
> fasò, innaffiato da un bell'ortrugo :)

Ok, se Mirko non riesce a passare fammi sapere che salgo su io :-)

[Mirko Borsari]

Ciao Jax in data Tue, 13 Sep 2011 11:46:54 +0200, hai scritto:


>> la compatibilità te la da ipsec. il costo dipende da quello che
>> intende uno per fortuna. per me spendere 1000eur per un firewall per
>> un'azienda non è una fortuna (poi ovviamente bisogna valutare se i
>> 1000eur sono sufficenti, ma alla fine è tutto rapportato)
>
> Mi sparano :)

per mille euro??
vabbè conosco realtà di questo genere, però bisogna sempre rapportare
il costo ai vantaggi. E comunque per così poco non mi hanno mai fatto
grossissime storie... :-)

>> scherzi? utenti VPN connessi ad Active directory e pacchetto vpn
>> client autoinstallante con tutti i paramentri già inseriti... Passi
>> l'msi ha chi lo vuole e via... e poi inizi ad installarlo su tutti i
>> notebook che ti passano tra le mani.
>
> Eh. A esser capaci è tutto facile...
> Non è che magari fai un salto a Piacenza che ti offro una pizza, ma di
> quelle buone buone? ;)

Piacenza è nel mio raggio di azione.
Seguo in toto un'azienda di parma, che tra l'altro ha assorbito
proprio un'azienda di piacenza.
Se la cosa può interessare scrivimi pure.