none
2012 R2 non risponde all'IP privato della VPN RRS feed

  • Domanda

  • Ciao a tutti, avrei un paio di quesiti.

    Versione corta:

    1) Meglio fare una VPN è più sicuro. Idea relativamente semplice. WS 2012 R2, si installa il servizio, gli utenti, le autorizzazioni, et voilà ... tutti allegramente connessi alla VPN. In effetti siamo tutti connessi, tutti con un bell'IP, i client si vedono tra di loro, tutto troppo bello. Infatti ci sono tutti TRANNE IL SERVER! Il server ha deciso che non ne vuole sapere di rispondere sull'IP privato della VPN, da nessun servizio, su nessuna porta. Ne se è lui a fare da "server VPN", ne se è configurato come "client" di un altro server VPN. Inutile dire che riportando la medesima configurazione su un altro server (2008R2) i client accedono allegramente con qualsiasi servizio.

    2) E' possibile, senza usare un dominio e pessimi file .bat in esecuzione automatica, mantenere la VPN "always on"?

    Versione Lunga:

    1)

    Situazione Ipotetica finale:

    - WS 2012 R2 Datacenter in VPS Remota.

    - 5 PC client che devono condividersi un database postgree per un software installato in locale.

    Situazione Attuale:

    - I client accedono al server in TS e il software lavora in remoto tramite TS in quanto "al momento" il db non è postgree ma una specie di access, pertanto sarebbe impensabile gestire questo tipo di database in remoto. In seguito ad un importante aggiornamento, questo software è stato completamente riprogettato ed ora utilizza appunto un postgree.

    Idea:

    - Postgree sul server, apro le porte del postgree ... et ... voilà ...

    Si è un'idea, ma poco sicuro. Quindi è meglio fare una VPN. Idea relativamente semplice. Si installa il servizio, gli utenti, le autorizzazioni, et voilà ... tutti allegramente connessi alla VPN.

    In effetti siamo tutti connessi, tutti con un bell'IP, i client si vedono tra di loro, tutto troppo bello. Infatti il server ha deciso che non ne vuole sapere di rispondere sull'IP privato della VPN, da nessun servizio, su nessuna porta. Ne se è lui a fare da "server VPN", ne se è configurato come "client" di un altro server VPN. Inutile dire che riportando la medesima configurazione su un altro server (2008R2) i client accedono allegramente con qualsiasi servizio.

    Ovviamente una VPN che non mi fa accedere al server serve a poco. Come dicevo ho provato anche ad impostare il server 2012R2 come client di WS2008R2: anche come client il suo IP locale non è raggiungibile, mentre è raggiungibile quello pubblico (sulle porte aperte), mentre WS2008R2 è sempre raggiungibile anche sull'IP privato, sia che faccia da server, che da client.

    Ho guardato firewall, aperto porte trovare nei vari support (anche qui) senza risultato.

    Qualcuno potrebbe inorridire, ma confesso di avere utilizzato il ruolo VPN messo a disposizione da mamma Microsoft.

    2)

    La seconda domanda non esiste in "versione lunga", quindi la reincollo: E' possibile, senza usare un dominio e pessimi file .bat in esecuzione automatica, mantenere la VPN "always on"?


    venerdì 30 gennaio 2015 23:52

Risposte

  • Ho risolto. Pare che il firewall di R2 abbia delle regole predefinite diverse, più restrittive (una volta capite direi migliori) rispetto al 2012 liscio. Il problema era nel firewall, che bloccava deliberatamente il taffico virtuale per impostazione predefinita (chissa poi perchè). Ma ci sono arrivato per caso, confrontando regola per regola dopo aver verificato che con firewall disabilitato il sistema funzionava regolarmente.

    Per Edoardo: Dove lo trovo questo firewall che dici? le impostazioni rras le ho ribaltate in questi gg e non ne ho trovato traccia.

    Per Alessandro: Ovvio, più volte, cmq importante è avere risolto!


    mercoledì 4 febbraio 2015 11:54

Tutte le risposte

  • Ciao, versione molto corta chiaramente dettata dalla mia esperienza e quindi non è legge ci mancherebbe:

    1) per le vpn always on usi dei firewall hardware che sono nati per fare quello, magari di marca valida, Cisco, WG, Sophos...ai server facciamo fare i server, facciamogli gestire i servizi e basta, per tutta una serie di problematiche prima tra le tante la vulnerabilità che è comunque molto più alta di una appliance di sicurezza.

    2) per aprire un gestionale client server via vpn devi avere una banda enorme, per 5 client server ancora più enorme, per questo si usa il terminal: sei già sul server. Ad oggi (dipende sempre dal DB) ancora soluzioni ottimali non ce ne sono per questo tipo di funzionalità e detto tra noi non sono nemmeno ricercate con impegno: puntano sulla remote desktop virtualization se proprio piuttosto che trovare escamotages per farti portare tutti i dati sul tuo pc tramite la banda passante o farti agganciare cartelle remote.

    3) non si aprono mai porte DB al mondo senza una VPN

    4) per i server "non raggiungibili" internamente, non hai configurato corretto il routing ed accesso remoto...ma in questo caso io ritorno sempre al mio punto 1 senza nemmeno pensarci :-)

    Ultima considerazione quello che vuoi fare tu si fa tranquillamente in casa propria con un firewall decente nel centro stella e degli ssl client senza spendere una tassa fissa come la macchina in datacenter, il costo della banda ecc...per 5 client un ambaradan così non ha senso..se erano 50 allora era diverso, se ci fai due conti a cosa ti costa nel corso degli anni...sempre secondo me eh :-)

    Ciao!

    A.

    sabato 31 gennaio 2015 08:44
    Moderatore
  • 1) I client sono su 3 sedi diverse e 2 sono portatili che si collegano in mobilità. Il server è VPS, quindi virtuale. L'applicazione di VPN hardware non è attuabile.

    2) Assolutamente daccordo.

    3) Assolutamente daccordo.

    4) Routing ed accesso remoto impostato esattamente come in altro server (che fa altre cose) che invece funziona benissimo. Ha modo di dirmi dove mettere le mani per capire se il problema è esattamente questo?

    lunedì 2 febbraio 2015 09:08
  • Ho controllato e ricontrollato controllando le impostazioni di un server che funziona (raggiungibile sull'IP privato della della VPN e questo che non funziona (non raggiungibile sull'IP privato della VPN ma raggiungibile sull'IP pubblico) Le impostazioni sono IDENTICHE ad eccezione di IGMP, che risulta NON presente sul server che funziona. Sul server che non funziona si può disabilitare od abilitare a piacimento che non cambia niente: VPN connessa, client connessi, server non raggiungibile. Non sò proprio che fare se non formattare il server, mi sembra una cosa assurda.

    Nessuna idea?

    martedì 3 febbraio 2015 00:04
  • Ma i server sono entrambi VM piazzati nello stesso posto? non è che il problema risiede nelle due virtual nic di quella macchina? hai provato a sciogliere e rifare il RRAS Role?

    martedì 3 febbraio 2015 10:00
    Moderatore
  • inoltre il RRAS è dotato di un basic firewall (non il firewall di Windows ma proprio un firewall del RRAS), sei sicuro che le porte non siano chiuse lì per proteggere il server stesso ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 3 febbraio 2015 13:52
    Moderatore
  • Ho risolto. Pare che il firewall di R2 abbia delle regole predefinite diverse, più restrittive (una volta capite direi migliori) rispetto al 2012 liscio. Il problema era nel firewall, che bloccava deliberatamente il taffico virtuale per impostazione predefinita (chissa poi perchè). Ma ci sono arrivato per caso, confrontando regola per regola dopo aver verificato che con firewall disabilitato il sistema funzionava regolarmente.

    Per Edoardo: Dove lo trovo questo firewall che dici? le impostazioni rras le ho ribaltate in questi gg e non ne ho trovato traccia.

    Per Alessandro: Ovvio, più volte, cmq importante è avere risolto!


    mercoledì 4 febbraio 2015 11:54

  • Per Edoardo: Dove lo trovo questo firewall che dici? le impostazioni rras le ho ribaltate in questi gg e non ne ho trovato traccia.


    quello che si chiamava Basic Firewall fino a win2k3 è diventato NPS da win2k8 in poi...

    qui

    https://technet.microsoft.com/en-us/library/dd469660.aspx

    qualche dritta in più.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org


    mercoledì 4 febbraio 2015 14:42
    Moderatore