Tentativo di guida alle VPN

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Con questo post spero di dare delle risposte a quanti come me si avvicinano per la primissima volta al mondo delle vpn, in modo da creare un post di riferimento per quanti si avventurassero in questo mondo!
Comincerò con le basi.

Se non ho capito male esistono 2 tipi di vpn:

- Quelle peer-to-peer (comunemente indicate con il simbolo |2|) che collegano in maniera stabile 2 router e le loro sottoreti; ad esempio se si ha la necessità di collegare la sede A di un'azienda con la sede B in modo che tutti gli impiegati possano lavorare come se fossero in un unico ufficio, si può utilizzare questa vpn.
Mi sembra di aver capito che questo tunnel va giù nel caso in cui non ci sia traffico per un po' di ore, e torna su appena ce n'è bisogno.
Lo svantaggio dovrebbe essere che se si avesse la necessità di aggiungere alla rete una terza sede C, bisognerebbe creare un'altra |2| tra il router A e il C, oppure tra il B ed il C.
Sempre se non ho frainteso requisito essenziale è che le 3 LAN delle 3 sedi siano su network diverse, ad esempio SEDE A 192.168.0.x SEDE B 192.168.1.x e SEDE C 192.168.2.x
La domanda che mi sorge spontanea è: ma una volta tirata su la VPN, ogni sede continua ad uscire su internet con il proprio router ed il proprio indirizzo IP?

- Easy VPN, e su queste non ho capito un granchè.
Dovrebbe trattarsi di impostare un router come server, richiamando l'esempio di prima il router della sede A farà da server Easy VPN, ed il commerciale che va in giro con il suo portatile si può connettere quando ne ha bisogno alla LAN della sede A avviando un programmino installato sul suo PC...giusto?

Per ora mi fermo in modo da non scrivere ancora più righe.
Grazie a chi volesse collaborare.
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Per le VPN L2L:
Lo svantaggio dovrebbe essere che se si avesse la necessità di aggiungere alla rete una terza sede C, bisognerebbe creare un'altra |2| tra il router A e il C, oppure tra il B ed il C.
No, basta inserire 2 righe di config: una per la crypto acl e una per il nat0
Sempre se non ho frainteso requisito essenziale è che le 3 LAN delle 3 sedi siano su network diverse, ad esempio SEDE A 192.168.0.x SEDE B 192.168.1.x e SEDE C 192.168.2.x
Corretto, anche se, con la potenza del nat si possono risolvere dei problemi di overlapping
La domanda che mi sorge spontanea è: ma una volta tirata su la VPN, ogni sede continua ad uscire su internet con il proprio router ed il proprio indirizzo IP?
Yes!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Ok!
Detto questo, per la realizzazione di una |2| la procedura dovrebbe essere questa (mi rifaccio ad un post di qualche tempo fa di Wizard):
Sul router della sede A

Codice: Seleziona tutto

access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 151 remark ************************************************************
access-list 151 permit ip 192.168.x.0 0.0.0.255 192.168.y.0 0.0.0.255
access-list 151 remark ************************************************************
Dove l'indirizzo ip con la x dovrebbe rappresentare la classe di indirizzi della sede A e l'ip con la y la classe della sede B.

Codice: Seleziona tutto

access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.x.0 0.0.0.255 192.168.y.0 0.0.0.255
access-list 101 permit ip 192.168.x.0 0.0.0.255 any
Dove, sempre se non ho capito male, x e y rappresentano sempre gli stessi ip di prima, ed il senso dovrebbe essere quello di dire al router "non nattare sull'interfaccia responsabile del nat outside (per esempio l'atm 0.1 point-to-point) il traffico diretto alla network 192.168.y.0 (cioè alla sede B) ma tutto il resto si.
Chiaramente tutto ciò dev'essere associato alla regola
ip nat inside source list 101 pool [NOME DEL POOL DI IP PUBBLICI] overload

Codice: Seleziona tutto

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxx address yyy no-xauth
Che dovrebbe rappresentare l'elenco di regole da utilizzare nella nostra vpn in quest'ordine(preso da un post di zot):
Numero di policy da poter utilizzare nella crypto map
Crittografia da utilizzare
Metodo di negoziazione della prima chiave
Tipo di autenticazione da utilizzare
bit di cifratura (2 dovrebbe corrispondere a 512)
xxx dovrebbe rappresentare la chiave di crittografia da utilizzare e yyy l'indirizzo ip pubblico della sede B

Codice: Seleziona tutto

crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
Che dovrebbe indicare come utilizzare i metodi di crittografia.

Codice: Seleziona tutto

crypto map VPN [IP PUBBLICO] [INTERFACCIA CHE FA IL NAT OUTSIDE]
crypto map VPN 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set VPN-SET
match address 151 
Che dovrebbero indicare rispettivamente:
Il tunnel deve partire da quì
Utilizza queste policy
Indirizzo ip del router della sede B
Indica il metodo di creazione del tunnel
Traffico che deve essere indirizzato su questo tunnel

E per finire

Codice: Seleziona tutto

interface [NOME DELL'INTERFACCIA DI FRONTIERA](ad esempio la atm 0.1 point-to-point)
crypto map VPN 
Spero tanto di aver tratto le giuste considerazioni perchè per me sta faccenda è veramente un parto!Per fortuna che c'erano parecchi precedenti su cui potevo basarmi per capirci qualcosa!
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Visto che l'argomento è molto interessante ma altrettanto articolato, ti consiglio di leggerti qualche testo a riguardo. Ad esempio i testi ufficiali per gli esami SND e SNPA, anche se non sono proprio leggerissimi... Però ottimi per capire! :wink:
Anche sul web ci sono molti esempi e guide più o meno complete, magari ti possono bastare per cominciare.
Mandi.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Per quanto riguarda le regole di nat0 e le crypto map ci siamo ma x le istruzioni di cifratura non al 100%.
Consiglio anche io di documentarsi un po' su cisco.com
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Ok, avevo infatti già pensato di documentarmi!
Avete qualche pdf in particolare a portata di mano?
Se vi capita postate pure, io comunque mi metterò alla ricerca!
Appena avrò nuovi dubbi posterò!
Grazie per l'aiuto
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

RJ45 ha scritto:Visto che l'argomento è molto interessante ma altrettanto articolato, ti consiglio di leggerti qualche testo a riguardo. Ad esempio i testi ufficiali per gli esami SND e SNPA, anche se non sono proprio leggerissimi... Però ottimi per capire! :wink:
Anche sul web ci sono molti esempi e guide più o meno complete, magari ti possono bastare per cominciare.
Mandi.
Dove si possono trovare questi testi io ho cercato un po su cisco press e per l'snd ho trovato solo ebook riassuntivi e molto vaghi.
per l'snpa ho visto che ci in merito a quei testi ci sono molti pareri che dicono che non sono fatti molto bene mi confermi quanto ho letto ?
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Hai un MP.
Rispondi