none
Accesso esterno tramite VPN RRS feed

  • Domanda

  • Buongiorno a tutti,

    ho un Windows Server 2008 r2 e ho la necessità di accedervi tramite VPN dall'esterno usando un indirizzamento IP diverso da quello usato in azienda.

    In dettaglio:

    Indirizzamento aziendale: 192.168.1.x
    Indirizzamento esterno: 192.168.100.x
    Subnet: 255.255.255.0

    Lo scopo finale è quello di riuscire a pingare (dall'esterno della rete aziendale) un apparato con indirizzo 192.168.100.100, posizionato però in sede aziendale. 

    Se non erro, visto che l'accesso tramite VPN funziona già, devo solo aggiungere una o più route statica sul server che consenta l'instradamento, giusto?

    Mi potreste confermare/sfatare/delucidare meglio la questione per favore?

    Grazie in anticipo.

    mercoledì 23 ottobre 2019 11:10

Tutte le risposte

  • ciao,

    cosa intendi che la vpn funziona già? significa che hai già creato una vpn? con quale apparato vuoi crearla?

    il mio consiglio è di crearla con i firewall che hai in azienda, lascia perdere la vpn di Windows.


    Alberto Lissoni MCSA, MCTS, MCITP Server

    mercoledì 23 ottobre 2019 13:50
  • Ciao,

    c'è una gran confusione nel tuo post.

    Indirizzo interno classe privata 1.x e fin qui...

    indirizzo esterno altra classe privata 100.x...boh.

    Poi vuoi entrare in vpn ed entrerai per forza sulla 1.x di li vuoi andare su un'altra classe privata mettendo una route? altro boh.

    ultime due perplessità: 2008 R2 tra 3 mesi va fuori supporto. Sistema finito. VPN con sistema finito no buono. Seconda perplessità VPN con windows? anche no. Firewall perimetrale nato apposta e funzionalità vpn molto meglio quindi supervoto Alberto.

    Ora il consiglio è: ti prendi un firewall degno di questo nome, ci fai una ssl vpn e colleghi la rete 100.x direttamente in vlan o su una interfaccia dedicata del firewall e ci entri con la tua vpn. Professionale, pulito, supportato.

    ciao.

    A.

    giovedì 24 ottobre 2019 06:22
    Moderatore
  • ciao,

    cosa intendi che la vpn funziona già? significa che hai già creato una vpn? con quale apparato vuoi crearla?

    il mio consiglio è di crearla con i firewall che hai in azienda, lascia perdere la vpn di Windows.


    Alberto Lissoni MCSA, MCTS, MCITP Server


    Ciao e grazie del consiglio innanzitutto.

    Intendo esattamente che è già configurata VPN di Windows, situazione pregressa cui sono stato chiamato a porre una soluzione celere il più possibile. Se ne occupava un tizio che adesso "non è più disponibile", non hanno firewall (ancora), vediamo di poterli convincere a rinnovare gli apparati di rete ma per ottenere la loro fiducia, devo almeno risolvergli il problema urgente.


    • Modificato Field-J giovedì 24 ottobre 2019 07:51
    giovedì 24 ottobre 2019 07:17
  • Ciao,

    c'è una gran confusione nel tuo post.

    Indirizzo interno classe privata 1.x e fin qui...

    indirizzo esterno altra classe privata 100.x...boh.

    Poi vuoi entrare in vpn ed entrerai per forza sulla 1.x di li vuoi andare su un'altra classe privata mettendo una route? altro boh.

    ultime due perplessità: 2008 R2 tra 3 mesi va fuori supporto. Sistema finito. VPN con sistema finito no buono. Seconda perplessità VPN con windows? anche no. Firewall perimetrale nato apposta e funzionalità vpn molto meglio quindi supervoto Alberto.

    Ora il consiglio è: ti prendi un firewall degno di questo nome, ci fai una ssl vpn e colleghi la rete 100.x direttamente in vlan o su una interfaccia dedicata del firewall e ci entri con la tua vpn. Professionale, pulito, supportato.

    ciao.

    A.


    Ciao, grazie anche a te dei consigli che accetto e che proverò al momento opportuno a far comprendere anche a chi caccia fuori i denari. Considera che sono stato chiamato ad intervenire in "emergenza" in seguito ad una serie di questioni che non sto qui ad elencare.

    Proverò a rispondere in maniera più specifica: il computer remoto ha un indirizzo IP 192.168.100.81 e deve potersi connettere tramite VPN ad un apparato di rete con indirizzo 192.168.100.100 (che si trova nella sede dove sono stato chiamato ad operare).

    Qui in sede hanno in produzione quel famigerato Windows 2008 r2 (a cui restano si e no 3 mesi di vita, cosa che cercherò di far presente, insieme all'acquisto di un firewall per come si deve), già configurato per accettare connessioni remote dal mio predecessore.

    Il problema che mi chiedono di risolvere è quello di permettere al PC remoto (192.168.100.81) di pingare l'apparato interno (192.168.100.100) connettendosi tramite VPN.

    Se riesco a risolvere questo problema, otterrei certo la fiducia dei capi e chissà, magari oltre a destinare nuovi fondi per l'acquisto di apparati più recenti mi assumono in sostituzione del mio predecessore!

    Grazie comunque per gli eventuali ulteriori suggerimenti.



    • Modificato Field-J giovedì 24 ottobre 2019 07:52
    giovedì 24 ottobre 2019 07:35
  • Non puoi avere le stesse classi da entrambe le parti. Prerogativa di una vpn correttamente funzionante è che ci siano 2 classi diverse ai due estremi. Se hai 100 da una parte e 100 dall'altra l'unica è provare a fare una statica dicendogli che quando il traffico deve andare sul 100.100 invece che in rete locale lo deve buttare dentro il tunnel. Mai fatto con un Windows, non so nemmeno se sia fattibile lato client. Con un apparato firewall si fa senza problemi, anche se resta comunque una scocciatura avere le stesse classi da entrambe i lati.

    giovedì 24 ottobre 2019 07:54
    Moderatore
  • Non puoi avere le stesse classi da entrambe le parti. Prerogativa di una vpn correttamente funzionante è che ci siano 2 classi diverse ai due estremi. Se hai 100 da una parte e 100 dall'altra l'unica è provare a fare una statica dicendogli che quando il traffico deve andare sul 100.100 invece che in rete locale lo deve buttare dentro il tunnel. Mai fatto con un Windows, non so nemmeno se sia fattibile lato client. Con un apparato firewall si fa senza problemi, anche se resta comunque una scocciatura avere le stesse classi da entrambe i lati.

    e infatti da qui sorgono le mie perplessità e la conseguente idea di aggiungere una o più route statiche usando i mezzi a disposizione, così ragionando sono arrivato qui.

    Nella sezione Routing e accesso remoto => routing statico, posso aggiungere delle regole ma non so se sia questa la strada migliore.

    Qualcuno mi può confermare per esperienza che sto calcando la strada giusta?

    Grazie sempre.


    giovedì 24 ottobre 2019 09:09
  • ciao,

    purtroppo mai fatto, prova tu e dicci se funziona.

    la vpn con Windows le ho fatte solo come test per le certificazioni.


    Alberto Lissoni MCSA, MCTS, MCITP Server

    giovedì 24 ottobre 2019 09:25
  • Ok ma non lo puoi fare lato server di ricezione...come fa? la tua route deve intervenire prima, quindi deve essere o il gateway dove sta il client che quando si vede una richiesta di connessione dal client verso il 100 lo butta dentro il tunnel ed  in quel caso lo fa un firewall od un router oppure lo devi fare direttamente sul client. Il problema di base è che il tunnel vpn viene aperto di volta in volta su una client to site e riuscire a dirgli di instradare solo quando è aperto su quella connessione il pacchetto che deve andare verso il 100 è...fantascienza. Almeno per me. Poi se qualcuno ha smanettato con la parte client di windows ed ha mai avuto questa necessità...ma guarda..dubito davvero che si possa fare.

    La soluzione più on\off è cambiare la classe lato client se proprio vuoi risolvere. Altrimenti visto che hai "ereditato" la situazione spieghi al cliente che chi l'ha fatta non è che fosse proprio il massimo e che per risolvere devi fare diverso. Sempre che non sia invece, un'idea da implementare adesso da nuovo. A quel punto, gli metti un fermo subito. Questo perchè rischi di fare un bel po' di confusione giocando con le routes..

    ciao.

    A.

    giovedì 24 ottobre 2019 10:01
    Moderatore
  • la soluzione più rapida che vedo io se è fattibile (dhcp che passa i parametri con le scope options) è quella di passare da una classe C ad una classe B nel piano di indirizzamento della rete dove si trova l'apparacchio x.y.100.100 cambiano la subnet mask da 255.255.255.0 a 255.255.0.0

    ovviamente il client deve stare su una rete diversa dalla 192.168


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it


    lunedì 28 ottobre 2019 09:42
    Moderatore