VPN su Fastweb
SJB
ma fra un pň vorrei provare anche tra computer nella LAN di FW; c'č qualcuno
che mi vuole aiutare ? magari di Milano cosě siamo vicini ... quelli di FW
dicono che non si puň fare VPN ma penso che i problemi nascano dai link con
rete esterna no ? cmq dopo proverň anche con utenti internet
Ciao
--
Sergio
mailto:sergio....@fastwebnet.it
mailto:sber...@libero.it
DuDeMon
"SJB" <sergio....@fastwebnet.it> ha scritto nel messaggio
news:_BXn8.3680$sP6....@tornado.fastwebnet.it...
> sto facendo dei test di collegamento VPN (IPSec, L2TP) su pc nella mia
rete
> ma fra un pň vorrei provare anche tra computer nella LAN di FW; c'č
qualcuno
> che mi vuole aiutare ? magari di Milano cosě siamo vicini ... quelli di FW
> dicono che non si puň fare VPN ma penso che i problemi nascano dai link
con
> rete esterna no ? cmq dopo proverň anche con utenti internet
>
> Ciao
> --
viceserva, poiche FW e' in sostanza una grossa lan che esce su internet
attraverso proxy
Macs
DuDeMon ha scritto:
>
> credo si possa fare tra utenti FW ma non tra utenti FW--->Internet e
> viceserva, poiche FW e' in sostanza una grossa lan che esce su
> internet attraverso proxy
Gli utenti residenziali Fastweb si trovano in condizioni di NAT dinamico
e quindi non potrebbero effettuare connessioni VPN con trasmissione di
pacchetti IPSec/IKE o IPSec/FWZ-incapsulato in condizioni standard.
Non esistono infatti regole che prevedano in modo fisso l'instradamento
delle connessioni in ingresso su determinate porte dei client 500/1723 o
2233 (Shiva).
Alcuni client con supporto IKE/IPSec consentono tuttavia di stabilire il
tunnel ed effettuare l'autenticazione, ricorrendo p.es. a sistemi come :
A.NAT Transparency Mode
-----------------------
Il client VPN si connette alle porte remote 80 (HTTP) e 500 del server,
aprendo localmente in ascolto delle porte variabili -> tale modalita',
supportata p.es. dai client VPN Cisco, non funziona se e' attivo il
protocollo Cisco WCCP che provvede sui router ad effettuare il caching
sulla porta 80 in modo da velocizzare la navigazione internet.
B.UDP Encapsulation Mode
------------------------
I pacchetti IPSec (ESP Mode) vengono incapsulati in UDP Datagrams e cio'
consente ad un client dietro NAT dinamico di mantenere il tunnel ed
effettuare l'autenticazione -> funzionalita' dei client VPN-1 .
--
|Ż \/Ż | /Ż\ /Ż__/Ż__|-<|> http://planynet.hypermart.net ŻŻŻŻŻ<|
|Ż|\/|Ż|/Ż_Ż\|(__\__ \-<|> http://pub44.ezboard.com/bplanynet <|
|_| |_/_/ \_\___|___/-<|> NEWS: free.it.ingegneria.meccanica <|
|>Togli/Remove .INVALID<|> NEWS: free.it.tlc.provider.fastweb <|
SJB
news:3CA09D49...@hotmail.com.INVALID...
>
> Gli utenti residenziali Fastweb si trovano in condizioni di NAT dinamico
> e quindi non potrebbero effettuare connessioni VPN con trasmissione di
> pacchetti IPSec/IKE o IPSec/FWZ-incapsulato in condizioni standard.
si ma questo vale anche per connessioni VPN server-to-server (o
server-to-client) dentro la LAN fastweb ? cioč secondo te ci sono NAT tra le
scatole anche per link tra due utenti residenziali FW ?
ho provato a fare un traceroute da me a server internet e ho visto che
passavo dal mio dynamic IP su rete 1.46.212.x alla rete 10.68.0.x e da qui
ad address esterno 213.140.17.x ...
senza NAT in mezzo a falsare i dati i router dovrebbero far passare senza
problemi i pacchetti per IPSec ESP / IKE (raw IP port 50 e UDP port 500)
giusto ? o devono essere configurati apposta ?
> Non esistono infatti regole che prevedano in modo fisso l'instradamento
> delle connessioni in ingresso su determinate porte dei client 500/1723 o
> 2233 (Shiva).
> Alcuni client con supporto IKE/IPSec consentono tuttavia di stabilire il
> tunnel ed effettuare l'autenticazione, ricorrendo p.es. a sistemi come :
>
> A.NAT Transparency Mode
> -----------------------
> Il client VPN si connette alle porte remote 80 (HTTP) e 500 del server,
> aprendo localmente in ascolto delle porte variabili -> tale modalita',
> supportata p.es. dai client VPN Cisco, non funziona se e' attivo il
> protocollo Cisco WCCP che provvede sui router ad effettuare il caching
> sulla porta 80 in modo da velocizzare la navigazione internet.
non conoscevo questo sistema di tunneling per IPSec, ma č molto usato visto
che esiste nei client Cisco ? tra l'altro su ietf.org nel gruppo IPSec non
ho visto draft su questo sistema, esistono solo docs sulla soluzione
NAT-Traversal di SSH.
Io cmq lo escluderei a priori, vista la sua forte dipendenza dalla
configurazione dei router.
> B.UDP Encapsulation Mode
> ------------------------
> I pacchetti IPSec (ESP Mode) vengono incapsulati in UDP Datagrams e cio'
> consente ad un client dietro NAT dinamico di mantenere il tunnel ed
> effettuare l'autenticazione -> funzionalita' dei client VPN-1 .
infatti nel caso peggiore pensavo a una soluzione di NAT-Traversal tipo
questa, magari usando software open source tipo freeSWAN, sperando che
qualcuno nel frattempo abbia aggiunto queste chicche (sul sito non ho visto
news su features added per NAT traversal con UDP encapsulation).
Proverei anche le soluzioni Checkpoint VPN-1 ma non ho il software ...
:-(( ...
P.S. hai un link residenziale con FW ? sei a Milano ? visto che conosci cosě
bene le VPN non č che mi daresti una mano con le prove ? se mi aiuti
prometto che se riesco a fare link VPN tra users FW ti scrivo una guida da
mettere nelle FAQ.
Macs
SJB ha scritto:
>
> ci sono NAT tra le scatole anche per link tra due utenti residenziali
> FW ?
La rete residenziale FW segue una struttura gerarchica, come descritto
nelle FAQ, suddivisa per MAN corrispondenti alle citta' coperte -> i
problemi vi possono quindi essere per determinate connessioni semmai tra
utenti di MAN diverse - specie se uno fibra e l'altro DSL - tenendo
conto di eventuali protezioni sulla linea DSL per ovviare a determinati
aspetti del bridging RFC-1483 sulla visibilita' a livello di Data Link
Connection.
> i router dovrebbero far passare senza problemi i pacchetti per IPSec
> ESP / IKE (raw IP port 50 e UDP port 500) giusto ? o devono essere
> configurati apposta ?
Purtroppo andrebbe verificato, partendo innanzitutto con utenti dietro
al medesimo miniPOP di riferimento = infatti non dovrebbero esserci
problemi p.es. per utenti Fibra attestati su uno stesso switch.
> non conoscevo questo sistema di tunneling per IPSec, ma č molto usato
> visto che esiste nei client Cisco ?
E' una funzionalita' dei client VPN Intraport di Compatible Systems, ora
sotto Cisco -> comunque trovi ulteriori info in merito sul sito Cisco
nella sezione Support all'URL :
==
- http://www.cisco.com/warp/public/707/cscsupport/
> infatti nel caso peggiore pensavo a una soluzione di NAT-Traversal
> tipo questa
E' una soluzione comoda, visto che peraltro consente anche a piu' client
di lavorare con IPSec dietro NAT dinamico.
> P.S. hai un link residenziale con FW ?
Per ora no, visto che una connessione residenziale Fastweb non sarebbe
compatibile con le mie esigenze di utilizzo ed anche (soprattutto)
perche' finora l'amministrazione (Pirelli) ha preferito attendere la
definizione di un accordo per il cablaggio dei suoi stabili da parte di
Fastweb.
> sei a Milano ?
Si, come puoi leggere dai miei header, ed utilizzo una connessione ADSL
640 di Virgilio/Tin a livello residenziale.
> visto che conosci cosě bene le VPN non č che mi daresti una mano con
> le prove ?
Volentieri -> inoltre posso sempre persuadere un amico con connessione
in fibra a collaborare ;). Tieni comunque conto che l'aspetto piu'
significativo e' la realizzazione del tunnel verso server esterni alla
rete Fastweb.
> prometto che se riesco a fare link VPN tra users FW ti scrivo una
> guida da mettere nelle FAQ.
Fara' sicuramente piacere ad altri utenti con l'esigenza di utilizzare
ancora la connessione VPN per accedere a risorse aziendali da casa.