Vai al contenuto
PLC Forum


Stampare da Remoto

abbio90

Da abbio90:
in WAN e Larga Banda (Wi-Fi - GPRS - UMTS)

 Share

Messaggi consigliati


  • Risposte 132
  • Created
  • Ultima risposta

Top Posters In This Topic

  • abbio90

    69

  • radiation74

    57

  • Darlington

    2

  • guasto123

    2

Popular Days

Top Posters In This Topic

Popular Days

radiation74

radiation74

Inserita:
Inserita:

Nessuno. Anche dal punto di vista della sicurezza e la soluzione migliore. 

Avenfo solo la PPoE non  c'è modo di arrivare ai sistemi di backbone.

magari vogliono gestire tutto loro....

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

Eccomi...niente PPoE..hanno completamente ignorato la mail aprendo direttamente le porte citate e rispondendo così: Le modifiche richieste sono state apportate.

Le porte da aprire erano la 1701, la 500 e la 5500 Giusto???

 

Per accedere da remoto su windows :             82.**.***.**5:1701

Per accedere da remoto su smartphone:        82.**.***.**5:5500

 

Questo passaggio è corretto???se lo fosse devo mettere come avevi anticipato, tutta la rete sulla submask della cpe del gestore quindi 192.168.159.** com'era prima.

Tanto le porte le ho fatte aprire sul 192.168.159.51.

Questo indirizzo era il vecchio della cpe con la VPN.

Io ho provato a darlo al router in WAN e fare un NAT delle porte verso il nuovo IP della CPE VPN ma non va.....

Quindi devo riportare il 192.168.159.51 sulla CPE VPN eliminando la WAN dal router

Link al commento
Condividi su altri siti
radiation74

radiation74

Inserita:
Inserita:

Non mi torna la 5500......a memoria è la 4500... e DEVONO essere TUTTE UDP.

Il perchè non ti rilascino il PPoE non lo so......ma dopo tutto quello che mi hai detto una vaga idea me la sto facendo.

 

Discorso router sinceramente non s perchè lo hai messo se non usi la PPoE e non ti sei fatto aprire TUTTE le porte al fine di creare una DMZ sul tuo. Così facendo ti sei solo complicato la vita con un doppio NAT.

Per accedere alla VPN non serve specificare proprio un bel nulla. Quelle sono le porte che servono e la VPN si instrada da sola; sa già che per il tunnel L2TP deve andare sulla 1701 e che per l'IKE IPsec deve usare prima la 500 e poi la 4500.

 

Onestamente sarà la giornata pesante ma non ho ancora capito cosa hai fatto. Quello che dovresti fare però è indirizzare le 3 porte UDP verso l'IP del tuo router lato WAN (e questo deve farlo il tuo provider) e sempre le medesime 3 porte UDP le devi girare dal tuo router verso l'IP della CPE che sta facendo server VPN.

 

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:
Quote

Non mi torna la 5500......a memoria è la 4500... e DEVONO essere TUTTE UDP.

 

L'altra volta mi avevi scritto queste 3 e la 1701 mi avevi detto TCP

Magari è per questo che non va...poi la 5500....se è la 4500 è per questo...

Quindi faccio aprire 1701, 500, e 4500 tutte UDP???così nel caso mando subito la mail

 

Quote

non ti sei fatto aprire TUTTE le porte al fine di creare una DMZ sul tuo

Cioe tutte???  Perchè l'altra volta mi avevi detto che bastava apire le tre porte della VPN

 

Quote

non ho ancora capito cosa hai fatto. Quello che dovresti fare però è indirizzare le 3 porte UDP verso l'IP del tuo router lato WAN (e questo deve farlo il tuo provider) e sempre le medesime 3 porte UDP le devi girare dal tuo router verso l'IP della CPE che sta facendo server VPN.

 

questo è quello che ho fatto e stavo cercando di spiegarti.....ma non funziona....le cose son due...o perchè la 1701 è aperta in TCP ed è aperta la 5500 anzichè la 4500...oppure perchè come avevi detto la doppia NAT delle porte s'incasina su ipsec...Questo nel caso è il minor dei problemi....anche perchè al router in WAN ho dato l'IP che prima aveva la CPE VPN...quindi se il problema è la doppia NAT elimino la WAN e rimetto l'IP come prima dando l'IP con le porte aperte alla cpe vpn

Link al commento
Condividi su altri siti
radiation74

radiation74

Inserita:
Inserita:
Quote

'altra volta mi avevi scritto queste 3 e la 1701 mi avevi detto TCP

Magari è per questo che non va...poi la 5500....se è la 4500 è per questo...

Quindi faccio aprire 1701, 500, e 4500 tutte UDP???così nel caso mando subito la mail

 

Temo di aver scritto frettolosamente........le porte per la L2TP over IPsec sono 1701, 500 e 4500 tutte UDP.

 

Quote

Cioe tutte???  Perchè l'altra volta mi avevi detto che bastava apire le tre porte della VPN

E confermo che per la L2TP servono solo quelle......ma ti suggerivo di farti aprire tutte le porte su tutti i protocolli verso l'IP del tuo router in modo che poi puoi gestirti autonomamente le porte in quanto poi sarà solo il tuo router a gestire il NAT verso la tua rete (in realtà non è proprio così ma "prendila per buono" riassunta così:)).

 

Se le porte non sono UDP e se non sono quelle scritte sopra ovviamente non può funzionare; trovo strano che un provider alla richiesta di transito VPN non sappia cosa aprire.

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

Ok rimando subito la mail per la correzione delle porte....prima o poi si romperanno di me...se avrebbero dato la PPoE non avrebbero dovuto rimetterci le mani :roflmao:

 

Quindi vado 1701, 500 e 4500 tutti i protocolli verso l'IP del router in WAN... poi vediamo se funziona lasciando tutto come ora....diversamente farò in modo di togliere la parte WAN quindi di conseguenza eliminare anche il doppio NAT delle porte

 

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

E cosa mi consigli????alla fine avendo una VPN funzionante a cosa può essere utile avere una DMZ??? stai riducendo la sicurezza aprendo tutte le porte per poi proteggere la parte LAN.Ho capito cosa intendi...tu dici apri tutte le porte e proteggi la parte LAN...intanto sei protetto dall'esterno...e allo stesso tempo tramite il port forwanding del router puoi fare un NAT delle porte verso l'IP della LAN in tutta sicurezza....Ma Alla fine mi sa che conviene lasciare solo la VPN operativa....e non penso ci sia la necessità di accedere altro....dopo che vedo tutta la LAN

Link al commento
Condividi su altri siti
radiation74

radiation74

Inserita:
Inserita:
Quote

stai riducendo la sicurezza aprendo tutte le porte per poi proteggere la parte LAN.Ho capito cosa intendi...tu dici apri tutte le porte e proteggi la parte LAN...intanto sei protetto dall'esterno...e allo stesso tempo tramite il port forwanding del router puoi fare un NAT delle porte verso l'IP della LAN in tutta sicurezza....Ma Alla fine mi sa che conviene lasciare solo la VPN operativa....e non penso ci sia la necessità di accedere altro....dopo che vedo tutta la LAN

Il tutto è nato dal fatto che tu hai sempre aperto porte per qualsiasi cosa. Ovvio che la VPN è la soluzione a tutto. Io stesso per tutto quello che ho in casa uso solo la VPN.

Aprire le porte NON è MAI sicuro. Ma ci possono essere particolari esigenze dove posso accettare di avere delle porte aperte (magari temporaneamente) ma restringendo l'accesso ad una determinata subnet o meglio ancora a solo determinati host.

Per esempio posso accettare che un telefono SIP si registri sul mio PBX mediante una PPoE (quindi un'ulteriore protezione) ma solo se questa deriva da un certo indirizzo o range di indirizzi.

Oppure ancora posso decidere di esporre una ramo della mia LAN, su subnet separata e protetta da regole di firewalling su determinate porte ma anche in questo caso accessibile solo da detrminati host o range.

Caso pratico una mia Virtualmachine esposta su una extranet della LAN è  accessibile in RDP da soli 3 indirizzi IP; ammesso che venga bucata la extranet non c'è modo di arrivare alla LAN (sono su NIC e Subnet fisicamente separate).

Link al commento
Condividi su altri siti
radiation74

radiation74

Inserita:
Inserita:

Non so cosa dirti. Da LAN la VPN funziona quindi l'unica cosa che c'è di mezzo sono le porte.

Le prove devi farle da un'altra rete ( o in 3G) onde evitare che il provider non ti consente il forward del NAT su pubblico.

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

Ovvio...sto provando dal Cell...ho provato anche ad eliminare il ramo wan e dare  alla cpe VPN l'ip sul quale ho fatto aprire le porte...ma niente...non va nemmeno così....sto accendendo da smartphone sotto rete vodafone...inserendo l'ip pubblico senza specificare porte....

Link al commento
Condividi su altri siti
radiation74

radiation74

Inserita:
Inserita:

Quindi non passa la richiesta IKE della parte IPSec .

 

500 e 4500 aperte, giusto?

hai modo di provare da un pc windows10 o da altro Mikrotik? In modo da non usare IPSec 

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

Io ho richiesto l'apertura delle porte 1701, 4500, 500 tutte UDP..loro hanno detto che hanno apportato le modifiche richieste..per cui presumo che le porte richieste siano aperte....Su altra rete?subito no....posso provare nei prossimi giorni ma con windows 8...ma è strana questa cosa...Perché se con lo stesso profilo entro con ip LAN in Wi-Fi....Non capisco perché non entri mettendo ip pubblico in 4G....come se qualche porte non fosse aperta....in sostanza se le porte sono aperte correttamente non dovrebbe cambiare nulla da remoto a rete interna....giusto?

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

Installato il nuovo router....ho provato a connettermi alla VPN senza eseguire NAT di porte....appare lo stesso il messaggio first L2TP UDP packet received from IP del mio smartphone nei log...

A questo punto non mi resta che pensare non sia un problema di doppio NAT come aveva detto....dopo faccio un tentativo da WIN8 da un'altra rete..vediamo che succede....

Il masquerade che dovevamo aggiungere sulla CPE riguarda solo il fatto che connettendom ìi da rete interna mi oscura il lato internet??? o può influire anche da remoto???

Link al commento
Condividi su altri siti
radiation74

radiation74

Inserita:
Inserita:

Non capisco il discorso router; se è un router e non apri le porte non può passare nulla. Quindi o hai messo un mikrotik e lo hai messo in bridge (quindi non è più un router) oppure hai configurato la vpn su quello.

 

il masquerade ti ripeto nuovamente che nulla c'entra con l'autenticazione. 

 

 

Nuovamente PS: se hai un router di mezzo perché non ti fai aprire tutte le porte? 

Altrimenti un secondo router non ha alcun senso.

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

Il Router è il nuovo mikrotik....ora è come router perché lo cambiato al volo e per non cambiare tutti l'ip ho rimesso la wan...ma pensavo di eliminare la wan e mettere tutto sulla stessa submask del gestore....quindi bridge...senza nessuna regola di routing

Link al commento
Condividi su altri siti
radiation74

radiation74

Inserita:
Inserita:

Bah io non ci capisco più nulla...mi sono perso su cosa vuoi fare a questo punto. 

Per me avrebbe più senso che facesse lui router, server vpn ecc. Però se il provider apre tutto. Altrimenti è un aggeggio in più.

 

PS. Se non hai rimosso la default conf ci sono regole di firewall preimpostare. 

Link al commento
Condividi su altri siti
abbio90

abbio90

Inserita:
  • Autore
Inserita:

L'idea era si avere la PPoE e gestire tutto io...ma visto che questo non è possibile tanto vale che mi lascio solo le 3 porte della VPN aperte e ciccia...per far questo il nuovo router che ho impostato potrei metterlo in bridge ed eliminare la parte wan così semplifica le cose..non sapendo da prima che per questioni di causa maggiore ho dovuto sostituire il router wi-fi avevano creato la VPN sulla CPE..questo non è un grosso problema anche se come dici tu sarebbe stato più logico farla nel router ?? domani sistemo questa cosa della wan cosi vediamo se a questo punto si connette il tutto....poi se vuoi e hai un Po di tempo possiamo fare due prove e diamo un'occhiata per il masquerade

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
 Share
Vai alla lista discussioni
×
×
  • Crea nuovo/a...