Remove From My Forums

VPN server 2008 - win 7 pro

Domanda
0

Registrati per votare

Dovrei collegare, tramite VPN, 4 client windows 7 pro in località A, ad un server 2008 R2 in località B.

Lo scopo fondamentale è l'uso del gestionale.

Non vorrei utilizzare servizi o software di terze parti ma solo risorse windows.

Vorrei però evitare che collegando i client con la VPN, questi non riescano poi ad utilizzare altre risorse, tipo navigazione su internet o ftp o AS400; inoltre è chiaro che il server deve restare disponibile anche per i 20 client che vi si collegano via LAN situata sempre in località B.

E' la prima volta che uso solo risorse Windows.

Qualcuno sa come aiutarmi?

ps: le connessioni sono in A e B con IP statico (sul router).

Grazie

mercoledì 5 novembre 2014 10:36

Risposta

|

Citazione

Risposte

1

Registrati per votare
Ciao, parere personale? ti serve un firewall che faccia ipsec vpn o ssl vpn nella sede dove hai il server. Quello che vuoi fare tu oggi con PPTP quindi server RRAS non è sicuro. Si trovano parecchie guide su internet in "come bucare il pptp in 5 minuti". Oltre questo il server RRAS spesso va ad occupare indirizzi IP del dhcp saturandolo. Se vuoi intraprendere comunque questa strada questa è la guida per implementarla:

http://technet.microsoft.com/en-us/library/dd458983.aspx

devi comunque mettere mano al router nella sede centrale perchè deve avere il protocollo GRE aperto e indirizzare le porte 1723 tcp e 1701 udp verso il server RRAS.

Se poi hai 2 ip statici sulle 2 sedi perchè non fare un tunnel permanente con 2 apparati nati apposta? Funziona tutto molto meglio ed è sicuramente più sicuro.

Ciao.

A.
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 5 novembre 2014 11:53
- Contrassegnato come risposta Maria Atanassova mercoledì 12 novembre 2014 12:19
mercoledì 5 novembre 2014 10:53

Risposta

|

Citazione

Moderatore
0

Registrati per votare
in A puoi disabilitare il dhcp sul router telecom (lasciandolo come connessione di backup) e mantenere come linea primaria solo fastweb.

se in B c'è un dominio windows dovrai per forza associare le macchine di A al dominio dopo che sarà stata costruita la connessione vpn site to site altrimenti gli utenti in A non potranno accedere alle risorse.

in A potresti anche chiedere a Fastweb di configurarti il router per tenere in piedi una vpn site-to site con la sede B.

ciao.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator mercoledì 12 novembre 2014 12:58
venerdì 7 novembre 2014 09:08

Risposta

|

Citazione

Moderatore
0

Registrati per votare
In realtà è un bene (sia per la sicurezza che per le prestazioni) che il gestionale si trovi per conto suo su un altro server, però tutti i computer client andranno sotto il dominio gestito dal server 2008 (e possibilmente anche il server del gestionale, magari il software può essere integrato anche con Active Directory...). I computer della sede remota A, visto che sono pochi, possono anche essere legati al dominio direttamente passando per la VPN, ma a mio parere è meglio comunque predisporre un piccolo server in sede con funzione di DC o RODC per garantire un minimo di funzionalità anche nel caso ci sia un'interruzione del collegamento VPN (magari si può implementare anche una replica DFS per i file importanti).
- Modificato Fabrizio GiammariniMVP, Moderator venerdì 7 novembre 2014 10:27
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator mercoledì 12 novembre 2014 12:58
venerdì 7 novembre 2014 10:26

Risposta

|

Citazione

Moderatore

Tutte le risposte

1

Registrati per votare
Ciao, parere personale? ti serve un firewall che faccia ipsec vpn o ssl vpn nella sede dove hai il server. Quello che vuoi fare tu oggi con PPTP quindi server RRAS non è sicuro. Si trovano parecchie guide su internet in "come bucare il pptp in 5 minuti". Oltre questo il server RRAS spesso va ad occupare indirizzi IP del dhcp saturandolo. Se vuoi intraprendere comunque questa strada questa è la guida per implementarla:

http://technet.microsoft.com/en-us/library/dd458983.aspx

devi comunque mettere mano al router nella sede centrale perchè deve avere il protocollo GRE aperto e indirizzare le porte 1723 tcp e 1701 udp verso il server RRAS.

Se poi hai 2 ip statici sulle 2 sedi perchè non fare un tunnel permanente con 2 apparati nati apposta? Funziona tutto molto meglio ed è sicuramente più sicuro.

Ciao.

A.
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 5 novembre 2014 11:53
- Contrassegnato come risposta Maria Atanassova mercoledì 12 novembre 2014 12:19
mercoledì 5 novembre 2014 10:53

Risposta

|

Citazione

Moderatore
0

Registrati per votare

in B presumo ci sia un router tra internet e la lan,

in A invece cosa c'è ?

c'è pure un router ?
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org

mercoledì 5 novembre 2014 11:55

Risposta

|

Citazione

Moderatore
0

Registrati per votare
in A e B c'è un router, ma tra le varie cose del cliente ho trovato un cyberoam 25ia che si tovra dove sta il server e potrebbe essere utile

Grazie

Edoardo
- Modificato edobob mercoledì 5 novembre 2014 13:54
mercoledì 5 novembre 2014 13:49

Risposta

|

Citazione
0

Registrati per votare

ho trovato dal cliente in B un cyberoam 25ia che potrebbe essere utile ... in ogni caso, se convicessi il cliente a nuovi acquisti per A e B cosa mi consiglieresti?

Grazie

Edoardo

mercoledì 5 novembre 2014 13:54

Risposta

|

Citazione
0

Registrati per votare

2 firewall\router che supportino tunnel VPN Ipsec. Qualcuno usa openvpn...personalmente non mi garba come soluzione, preferisco apparati che fanno i loro lavoro.

A.

mercoledì 5 novembre 2014 14:00

Risposta

|

Citazione

Moderatore
1

Registrati per votare

ho la stessa idea di Alessandro, due routers con connessione vpn site-to-site con ipsec.

ciao.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org

mercoledì 5 novembre 2014 14:20

Risposta

|

Citazione

Moderatore
0

Registrati per votare

ho provato open vpn, non ha funzionato, non so cosa sbaglio, non riesco a trovarci una documentazione davvero esauriente, sembra una cosa che o va al primo colpo o ci passi giornate intere su

mercoledì 5 novembre 2014 21:43

Risposta

|

Citazione
0

Registrati per votare
Open VPN non è affatto uno "scherzo", per creare una VPN davvero sicura e funzionale la configurazione va attentamente valutata.

Ovviamente come diceva Alessandro la soluzione migliore sarebbe utilizzare direttamente apparati già studiati per lo scopo: sicuramente la configurazione è più immediata (e potenzialmente più sicura) e le prestazioni sono migliori.
- Modificato Fabrizio GiammariniMVP, Moderator martedì 13 ottobre 2020 15:18
mercoledì 5 novembre 2014 22:33

Risposta

|

Citazione

Moderatore
0

Registrati per votare

so bene che non è uno scherzo, non conoscevo la tua guida, ho fatto delle prove, ma il massimo risultato ottenuto è stato connettere (come test) la rete di casa mia con il mio ufficio. I Pc si connettevano (ho usato come server un XP pro sp3 e come client un win7 pro), ma le risorse condivise restano invisibili.

Vedrò la tua guida.

L'idea però che ormai ho in testa è quella di utilizzare un router che supporti VPn ipsec in A e il cyberoam 25ia già presente in B.

Per ora grazie,

vi aggiorno

edoardo

giovedì 6 novembre 2014 07:35

Risposta

|

Citazione
0

Registrati per votare

... e comunque faccio una prova seguendo la guida di Fabrizio, visto che per me è diventata una questione di principio far funzionare opnvpn

giovedì 6 novembre 2014 18:10

Risposta

|

Citazione
0

Registrati per votare

Sono andato a fare un sopralluogo fisico in A dove hanno 4 pc win7 a cui accedono senza login e una adsl Telecom e una xhdsl fastweb che lottano tra loro perchè entrambe hanno il dhcp attivo e i pc prendono IP a caso.

In B c'è un server domain controller 2008 standard a cui si loggano 3 pc win7 (su 19 in rete) senza password e fa da file server, poi ci sono i restanti 16 pc win7 in workgroup senza login nemmeno in locale e ancora c'è un altro server su cui c'è il gestionale (a cui dovrei fare arrivare la vpn) a cui gli utenti, in particolare i 16 del workgroup accedono senza log.

Sempre in B c'è un HDSL telecom (in B IP statici) con un Cyberoam 25ia.

Vorrei sapere che pensate (male, lo so, ma la situazione io la eredito).

Grazie

edoardo

venerdì 7 novembre 2014 08:53

Risposta

|

Citazione
0

Registrati per votare
in A puoi disabilitare il dhcp sul router telecom (lasciandolo come connessione di backup) e mantenere come linea primaria solo fastweb.

se in B c'è un dominio windows dovrai per forza associare le macchine di A al dominio dopo che sarà stata costruita la connessione vpn site to site altrimenti gli utenti in A non potranno accedere alle risorse.

in A potresti anche chiedere a Fastweb di configurarti il router per tenere in piedi una vpn site-to site con la sede B.

ciao.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator mercoledì 12 novembre 2014 12:58
venerdì 7 novembre 2014 09:08

Risposta

|

Citazione

Moderatore
0

Registrati per votare
in A faro del tutto fuori Telecom pee loro richiesta, non vogliono più pagarla (taglio costi).

Faccio eliminare il dhcp su fastweb, assegnando IP statici ai 4 pc (pensavo stesso range di B).

Sempre a Fasweb (sembra che io non possa farlo) chiederò in A di configurare il router per la VPN verso B.

Il problema è che il server gestionale è per conto suo insieme ad altri 16 pc (workgroup) tutto senza log senza password

Solo 3 pc fanno parte del dominio controllato dall'altro server (dominio.lan) (quello che condivide solo file, ma non viene usato per il gestionale che è la cosa importante per la VPN).

Grazie per ora

Edoardo
- Modificato edobob venerdì 7 novembre 2014 09:33
venerdì 7 novembre 2014 09:33

Risposta

|

Citazione
0

Registrati per votare
In realtà è un bene (sia per la sicurezza che per le prestazioni) che il gestionale si trovi per conto suo su un altro server, però tutti i computer client andranno sotto il dominio gestito dal server 2008 (e possibilmente anche il server del gestionale, magari il software può essere integrato anche con Active Directory...). I computer della sede remota A, visto che sono pochi, possono anche essere legati al dominio direttamente passando per la VPN, ma a mio parere è meglio comunque predisporre un piccolo server in sede con funzione di DC o RODC per garantire un minimo di funzionalità anche nel caso ci sia un'interruzione del collegamento VPN (magari si può implementare anche una replica DFS per i file importanti).
- Modificato Fabrizio GiammariniMVP, Moderator venerdì 7 novembre 2014 10:27
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator mercoledì 12 novembre 2014 12:58
venerdì 7 novembre 2014 10:26

Risposta

|

Citazione

Moderatore
0

Registrati per votare

ho utilizzato il cyberoam 25ia già presente in B e un router che supporta la VPN in A.

openvpn non ne ha voluto sapere di funzionare (non nella configurazione suggerita da Fabrizio), continui problemi, connessione senza browsing delle risorse, sono tornato ad "antichi" sistemi

grazie per l'aiuto ed il supporto

ciao

edoardo

giovedì 13 novembre 2014 17:41

Risposta

|

Citazione
0

Registrati per votare

Grazie per aver aggiornato il thread. Molto strano comunque che OpenVPN non ti abbia funzionato ma l'importante è che tu abbia risolto.

venerdì 14 novembre 2014 00:17

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Preciso (se non fosse stato chiaro) che io ho provato ad utilizzare openvpn non come indicato da Fabrizio, ma direttamente su due macchine. Ho fatto di tutto, ma non è andata.

Grazie per l'aiuto

edoardo

lunedì 17 novembre 2014 17:27

Risposta

|

Citazione

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

VPN server 2008 - win 7 pro

Domanda

Risposte

Tutte le risposte