[Ninux-Wireless] Chiarimento Nat Statico e VPN con Vodafone Station

Paolo Colucci

unread,

Jan 8, 2015, 2:59:47 PM1/8/15

to wire...@ml.ninux.org

Salve a tutti, ho un quesito da proporvi riguardo la fattibilità di una VPN IpSec Lan-to-Lan di cui una dietro Nat.

SEDE A:

router/server VPN con ip pubblico statico su cui già sono attive altre VPN con altre sedi

SEDE B:

il router/server VPN dovrà essere messo in cascata ad una Vodafone Station, sulla quale non è disponibile la configurazione come Bridge per dare l'ip pubblico al router VPN.

Secondo un tecnico non è possibile fare una VPN Lan-to-Lan se un peer ha un indirizzo Privato.

Ho visto per le VPN Ipsec esiste il NAT Traversal che viene incontro a questi tipi di problemi:

http://it.wikipedia.org/wiki/IPsec#NAT_Traversal

Inoltre nella configurazione della vodafone station è possibile attivare il NAT statico verso un singolo host (il Router VPN è l'unica interfaccia collegata alla station) oltre che impostare completamente il Port Forwarding e disabilitare il Firewall.

Secondo voi è possibile effettuare questa VPN prima di fare delle prove ?

Grazie

Saverio Proto

unread,

Jan 8, 2015, 3:19:05 PM1/8/15

to wireless

IPSec e NAT non vanno sempre d'accordo.
Devi dare dettagli sulla tua implementazione di IPSec.
Se vuoi fare delle SA IPSec Tunnel Mode classiche con il NAT non funzionano:

https://tools.ietf.org/html/rfc3715#section-2

la VPN Lan to Lan si può fare, ma non si puo fare con IPSec se c'è un
NAT di mezzo

Saverio

> _______________________________________________
> Wireless mailing list
> Wire...@ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
_______________________________________________
Wireless mailing list
Wire...@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Paolo Colucci

unread,

Jan 8, 2015, 3:42:00 PM1/8/15

to wire...@ml.ninux.org

Mi sono dimenticato di chiedere quale altre soluzioni sono possibili in questo caso?

Il 08/gen/2015 21:40 "Paolo Colucci" <paol...@gmail.com> ha scritto:

La IPSec penso sia di tunnel mode essendo una Lan2lan, ma non so dire con certezza se è con cifratura AH o ESP, ma in caso penso si possa configurare.

Ma il nat-t su Ipsec non serve proprio a eliminare questo tipi di inconvenienti quando un lato della Vpn è nattato??

Inoltre il fatto che sulla Vodafone station venga instradato tutto il traffico sul router Vpn con il Nat Statico può essere utile?

S

Paolo Colucci

unread,

Jan 8, 2015, 3:42:48 PM1/8/15

to wire...@ml.ninux.org

La IPSec penso sia di tunnel mode essendo una Lan2lan, ma non so dire con certezza se è con cifratura AH o ESP, ma in caso penso si possa configurare.

Ma il nat-t su Ipsec non serve proprio a eliminare questo tipi di inconvenienti quando un lato della Vpn è nattato??

Inoltre il fatto che sulla Vodafone station venga instradato tutto il traffico sul router Vpn con il Nat Statico può essere utile?

S

Il 08/gen/2015 21:18 "Saverio Proto" <ziop...@gmail.com> ha scritto:

Saverio Proto

unread,

Jan 8, 2015, 6:33:13 PM1/8/15

to wireless

Non so per quale motivo vuoi fare IPSec.
Io darei uno sguardo a questo:
http://www.tinc-vpn.org/

Saverio

impyth...@gmail.com

unread,

Jan 9, 2015, 4:26:50 AM1/9/15

to wire...@ml.ninux.org

Il 08/01/2015 21:40, Paolo Colucci ha scritto:
> La IPSec penso sia di tunnel mode essendo una Lan2lan, ma non so dire con
> certezza se è con cifratura AH o ESP, ma in caso penso si possa
> configurare.
>

AH fa solo autenticazione, non cifratura. ESP cifra.
Di solito si usa solo ESP.

Paolo Colucci

unread,

Jan 9, 2015, 4:40:34 AM1/9/15

to wire...@ml.ninux.org

Grazie per i consigli.

La VPN tra le due sedi era già fatta in IPSec ma prima di Vodafone avevano una ADSL con modem che faceva da bridge verso il loro router/firewall VPN. Quindi il loro tecnico voleva migrare la configurazione esistente ma ha il problema della NAT.

I loro firewall/router VPN hanno un firmware proprietario che penso permetta le varie tipologie di VPN:

-IPSec

-PPTP

-L2TP

Presumo si possa attivare il NAT-T (non sono entrato nella configurazione delle macchine per verificare).

In realtà non penso a loro interessi avere una grande "sicurezza" per cui abbiano scelto IPsec, basta che ci sia una VPN Lan-to-Lan in modo da accedere alle varie macchine che hanno collegate nell'altra sede.

Ho trovato questa configurazione pensate possa andare bene ?

Saverio Proto

unread,

Jan 9, 2015, 4:44:37 AM1/9/15

to wireless

Si se fai IPSec over L2TP funziona.
Per questo chiedevo i dettagli di come volevi fare IPSec, lo puoi fare
in tanti modi.

Saverio

Paolo Colucci

unread,

Jan 9, 2015, 4:52:20 AM1/9/15

to wire...@ml.ninux.org

Grazie allora quando ho tempo vado a fare delle prove

Reply all

Reply to author

Forward