Tentativo di guida alle VPN

Virtual private networks e affini

Moderators: Federico.Lagni, Wizard, tonycimo, MaiO, CiscoBoy

Tentativo di guida alle VPN

Postby [Dj][DMX] » Wed 06 Feb , 2008 2:24 pm

Con questo post spero di dare delle risposte a quanti come me si avvicinano per la primissima volta al mondo delle vpn, in modo da creare un post di riferimento per quanti si avventurassero in questo mondo!
Comincerò con le basi.

Se non ho capito male esistono 2 tipi di vpn:

- Quelle peer-to-peer (comunemente indicate con il simbolo |2|) che collegano in maniera stabile 2 router e le loro sottoreti; ad esempio se si ha la necessità di collegare la sede A di un'azienda con la sede B in modo che tutti gli impiegati possano lavorare come se fossero in un unico ufficio, si può utilizzare questa vpn.
Mi sembra di aver capito che questo tunnel va giù nel caso in cui non ci sia traffico per un po' di ore, e torna su appena ce n'è bisogno.
Lo svantaggio dovrebbe essere che se si avesse la necessità di aggiungere alla rete una terza sede C, bisognerebbe creare un'altra |2| tra il router A e il C, oppure tra il B ed il C.
Sempre se non ho frainteso requisito essenziale è che le 3 LAN delle 3 sedi siano su network diverse, ad esempio SEDE A 192.168.0.x SEDE B 192.168.1.x e SEDE C 192.168.2.x
La domanda che mi sorge spontanea è: ma una volta tirata su la VPN, ogni sede continua ad uscire su internet con il proprio router ed il proprio indirizzo IP?

- Easy VPN, e su queste non ho capito un granchè.
Dovrebbe trattarsi di impostare un router come server, richiamando l'esempio di prima il router della sede A farà da server Easy VPN, ed il commerciale che va in giro con il suo portatile si può connettere quando ne ha bisogno alla LAN della sede A avviando un programmino installato sul suo PC...giusto?

Per ora mi fermo in modo da non scrivere ancora più righe.
Grazie a chi volesse collaborare.
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
[Dj][DMX]
Coamministratore
 
Posts: 428
Joined: Wed 24 Nov , 2004 12:42 am
Location: Udine

Postby Wizard » Wed 06 Feb , 2008 2:50 pm

Per le VPN L2L:

Lo svantaggio dovrebbe essere che se si avesse la necessità di aggiungere alla rete una terza sede C, bisognerebbe creare un'altra |2| tra il router A e il C, oppure tra il B ed il C.


No, basta inserire 2 righe di config: una per la crypto acl e una per il nat0

Sempre se non ho frainteso requisito essenziale è che le 3 LAN delle 3 sedi siano su network diverse, ad esempio SEDE A 192.168.0.x SEDE B 192.168.1.x e SEDE C 192.168.2.x


Corretto, anche se, con la potenza del nat si possono risolvere dei problemi di overlapping

La domanda che mi sorge spontanea è: ma una volta tirata su la VPN, ogni sede continua ad uscire su internet con il proprio router ed il proprio indirizzo IP?


Yes!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby [Dj][DMX] » Thu 07 Feb , 2008 12:45 am

Ok!
Detto questo, per la realizzazione di una |2| la procedura dovrebbe essere questa (mi rifaccio ad un post di qualche tempo fa di Wizard):
Sul router della sede A
Code: Select all
access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 151 remark ************************************************************
access-list 151 permit ip 192.168.x.0 0.0.0.255 192.168.y.0 0.0.0.255
access-list 151 remark ************************************************************

Dove l'indirizzo ip con la x dovrebbe rappresentare la classe di indirizzi della sede A e l'ip con la y la classe della sede B.

Code: Select all
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.x.0 0.0.0.255 192.168.y.0 0.0.0.255
access-list 101 permit ip 192.168.x.0 0.0.0.255 any

Dove, sempre se non ho capito male, x e y rappresentano sempre gli stessi ip di prima, ed il senso dovrebbe essere quello di dire al router "non nattare sull'interfaccia responsabile del nat outside (per esempio l'atm 0.1 point-to-point) il traffico diretto alla network 192.168.y.0 (cioè alla sede B) ma tutto il resto si.
Chiaramente tutto ciò dev'essere associato alla regola
ip nat inside source list 101 pool [NOME DEL POOL DI IP PUBBLICI] overload

Code: Select all
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxx address yyy no-xauth

Che dovrebbe rappresentare l'elenco di regole da utilizzare nella nostra vpn in quest'ordine(preso da un post di zot):
Numero di policy da poter utilizzare nella crypto map
Crittografia da utilizzare
Metodo di negoziazione della prima chiave
Tipo di autenticazione da utilizzare
bit di cifratura (2 dovrebbe corrispondere a 512)
xxx dovrebbe rappresentare la chiave di crittografia da utilizzare e yyy l'indirizzo ip pubblico della sede B

Code: Select all
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac

Che dovrebbe indicare come utilizzare i metodi di crittografia.

Code: Select all
crypto map VPN [IP PUBBLICO] [INTERFACCIA CHE FA IL NAT OUTSIDE]
crypto map VPN 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set VPN-SET
match address 151

Che dovrebbero indicare rispettivamente:
Il tunnel deve partire da quì
Utilizza queste policy
Indirizzo ip del router della sede B
Indica il metodo di creazione del tunnel
Traffico che deve essere indirizzato su questo tunnel

E per finire
Code: Select all
interface [NOME DELL'INTERFACCIA DI FRONTIERA](ad esempio la atm 0.1 point-to-point)
crypto map VPN


Spero tanto di aver tratto le giuste considerazioni perchè per me sta faccenda è veramente un parto!Per fortuna che c'erano parecchi precedenti su cui potevo basarmi per capirci qualcosa!
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
[Dj][DMX]
Coamministratore
 
Posts: 428
Joined: Wed 24 Nov , 2004 12:42 am
Location: Udine

Postby RJ45 » Sat 09 Feb , 2008 4:04 pm

Visto che l'argomento è molto interessante ma altrettanto articolato, ti consiglio di leggerti qualche testo a riguardo. Ad esempio i testi ufficiali per gli esami SND e SNPA, anche se non sono proprio leggerissimi... Però ottimi per capire! :wink:
Anche sul web ci sono molti esempi e guide più o meno complete, magari ti possono bastare per cominciare.
Mandi.
User avatar
RJ45
Network Emperor
 
Posts: 456
Joined: Wed 07 Jun , 2006 6:40 am
Location: Udine (UD)

Postby Wizard » Sun 10 Feb , 2008 8:41 pm

Per quanto riguarda le regole di nat0 e le crypto map ci siamo ma x le istruzioni di cifratura non al 100%.
Consiglio anche io di documentarsi un po' su cisco.com
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby [Dj][DMX] » Wed 13 Feb , 2008 3:38 pm

Ok, avevo infatti già pensato di documentarmi!
Avete qualche pdf in particolare a portata di mano?
Se vi capita postate pure, io comunque mi metterò alla ricerca!
Appena avrò nuovi dubbi posterò!
Grazie per l'aiuto
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
[Dj][DMX]
Coamministratore
 
Posts: 428
Joined: Wed 24 Nov , 2004 12:42 am
Location: Udine

Postby kobaiachi » Fri 11 Jul , 2008 11:31 am

RJ45 wrote:Visto che l'argomento è molto interessante ma altrettanto articolato, ti consiglio di leggerti qualche testo a riguardo. Ad esempio i testi ufficiali per gli esami SND e SNPA, anche se non sono proprio leggerissimi... Però ottimi per capire! :wink:
Anche sul web ci sono molti esempi e guide più o meno complete, magari ti possono bastare per cominciare.
Mandi.


Dove si possono trovare questi testi io ho cercato un po su cisco press e per l'snd ho trovato solo ebook riassuntivi e molto vaghi.
per l'snpa ho visto che ci in merito a quei testi ci sono molti pareri che dicono che non sono fatti molto bene mi confermi quanto ho letto ?
kobaiachi
Cisco enlightened user
 
Posts: 171
Joined: Thu 27 Oct , 2005 3:34 pm

Postby RJ45 » Fri 11 Jul , 2008 6:55 pm

Hai un MP.
User avatar
RJ45
Network Emperor
 
Posts: 456
Joined: Wed 07 Jun , 2006 6:40 am
Location: Udine (UD)


Return to VPN

Who is online

Users browsing this forum: No registered users and 4 guests