luca
2004-11-15 21:58:45 UTC
Ho cambiato il fornitore di accesso ad internet ed ora non riesco più
a configurare un server VPN L2TP.
In precedenza avevo la seguente situazione:
accesso ad internet ADSL tramite router cisco con 30 ip pubblici:
xxx.yyy.zzz.225 - xxx.yyy.zzz.254 / 255.255.255.224; xxx.yyy.zzz.225
corrisponde al router;
server M1 windows 2003 con due schede di rete S1 e S2:
S1: è la scheda collegata ad internet configurata con
xxx.yyy.zzz.230/255.255.255.224 e gateway xxx.yyy.zzz.225
S2: è la scheda sulla rete privata configurata con DHCP e con
indirizzo del tipo 192.168.0.x (sulla rete sono già presenti servizi
DHCP e DNS)
Configuro M1 come VPN tramite l'assistente, aggiungo un utente con
accesso remoto abilitato e configuro una chiave condivisa per
l'autenticazione IPSEC.
Con questa configurazione riesco a collegarmi con L2TP da casa con un
PC Windows XP e connessione Fastweb nonostante il mio ip "nattato".
Non riesco invece a collegarmi in PPTP a meno di effettuare una
connessione via modem. Mi risulta che ciò sia normale in quanto solo
L2TP può passare attraverso il NAT.
Ora ho acquistato un accesso aziendale molto più economico. Il
provider mi ha fornito un router con NAT già configurato in modo da
fornirmi 6 ip pubblici: AAA.BBB.CCC.18-23 mappati sulla rete interna
su 192.168.0.26-31.
più precisamente il router è configurato in questo modo:
ip router sulla rete interna: 192.168.0.25/255.255.255.0
ogni macchina con ip 192.168.0.26-31 e gateway 192.168.0.25 esce con
ip pubblico. Per quanto ne so l'intero traffico ip diretto sugli
indirizzi pubblici viene ridiretto sui corrispondenti privati, ossia
sono aperte e ridirette tutte le porte.
ogni macchina con ip 192.168.0.x e gateway 192.168.0.25 non compresa
nel range precedente esce con ip condiviso AAA.BBB.CCC.17.
Configuro S1 a 192.168.0.26/255.255.255.0 gateway 192.168.0.25 e
rieseguo l'assistente per la configurazione VPN indicando S1 come
scheda collegata ad internet. La configurazione va a buon fine ma ora
riesco a collegarmi solo tramite PPTP. Ogni tentativo di collegarmi in
L2TP sia tramte la connessione Fastweb che via modem fallisce.
Da cosa può dipendere il problema? Il fatto che il traffico attraverso
l'ip pubblico venga traslato su ip privato è incompatibile con IPSEC?
Devo chiedere al provider una configurazione senza NAT sul router come
avevo in precedenza? Oppure il problema è che la scheda collegata ad
internet deve avere un ip su una sottorete diversa da quella interna?
Ho abilitato tutti i log possibili ma non ho ricavato informazioni
utili. Che tipo di analisi posso fare?
Aggiungo che ho provato a installare RRAS manualmente senza utilizzare
l'assistente e abilitando la sola scheda S1 (S2 disabilitata)
ottenendo ugualmente un server VPN funzionante col solo protocollo
PPTP ed un'unica scheda i rete. Si tratta evidentemente di una
configurazione possibile ma non ho trovato documentazione al riguardo.
Ringrazio chiunque mi possa consigliare.
a configurare un server VPN L2TP.
In precedenza avevo la seguente situazione:
accesso ad internet ADSL tramite router cisco con 30 ip pubblici:
xxx.yyy.zzz.225 - xxx.yyy.zzz.254 / 255.255.255.224; xxx.yyy.zzz.225
corrisponde al router;
server M1 windows 2003 con due schede di rete S1 e S2:
S1: è la scheda collegata ad internet configurata con
xxx.yyy.zzz.230/255.255.255.224 e gateway xxx.yyy.zzz.225
S2: è la scheda sulla rete privata configurata con DHCP e con
indirizzo del tipo 192.168.0.x (sulla rete sono già presenti servizi
DHCP e DNS)
Configuro M1 come VPN tramite l'assistente, aggiungo un utente con
accesso remoto abilitato e configuro una chiave condivisa per
l'autenticazione IPSEC.
Con questa configurazione riesco a collegarmi con L2TP da casa con un
PC Windows XP e connessione Fastweb nonostante il mio ip "nattato".
Non riesco invece a collegarmi in PPTP a meno di effettuare una
connessione via modem. Mi risulta che ciò sia normale in quanto solo
L2TP può passare attraverso il NAT.
Ora ho acquistato un accesso aziendale molto più economico. Il
provider mi ha fornito un router con NAT già configurato in modo da
fornirmi 6 ip pubblici: AAA.BBB.CCC.18-23 mappati sulla rete interna
su 192.168.0.26-31.
più precisamente il router è configurato in questo modo:
ip router sulla rete interna: 192.168.0.25/255.255.255.0
ogni macchina con ip 192.168.0.26-31 e gateway 192.168.0.25 esce con
ip pubblico. Per quanto ne so l'intero traffico ip diretto sugli
indirizzi pubblici viene ridiretto sui corrispondenti privati, ossia
sono aperte e ridirette tutte le porte.
ogni macchina con ip 192.168.0.x e gateway 192.168.0.25 non compresa
nel range precedente esce con ip condiviso AAA.BBB.CCC.17.
Configuro S1 a 192.168.0.26/255.255.255.0 gateway 192.168.0.25 e
rieseguo l'assistente per la configurazione VPN indicando S1 come
scheda collegata ad internet. La configurazione va a buon fine ma ora
riesco a collegarmi solo tramite PPTP. Ogni tentativo di collegarmi in
L2TP sia tramte la connessione Fastweb che via modem fallisce.
Da cosa può dipendere il problema? Il fatto che il traffico attraverso
l'ip pubblico venga traslato su ip privato è incompatibile con IPSEC?
Devo chiedere al provider una configurazione senza NAT sul router come
avevo in precedenza? Oppure il problema è che la scheda collegata ad
internet deve avere un ip su una sottorete diversa da quella interna?
Ho abilitato tutti i log possibili ma non ho ricavato informazioni
utili. Che tipo di analisi posso fare?
Aggiungo che ho provato a installare RRAS manualmente senza utilizzare
l'assistente e abilitando la sola scheda S1 (S2 disabilitata)
ottenendo ugualmente un server VPN funzionante col solo protocollo
PPTP ed un'unica scheda i rete. Si tratta evidentemente di una
configurazione possibile ma non ho trovato documentazione al riguardo.
Ringrazio chiunque mi possa consigliare.