Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Lan to Lan, AirMAx – VoIP e Dati

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
usul



Registrato: 02/09/11 09:27
Messaggi: 5

MessaggioInviato: Ven Set 02, 2011 9:58 am    Oggetto: Lan to Lan, AirMAx – VoIP e Dati Rispondi citando

Saluto tutti, sono nuovo come account, ma vecchio frequentatore del forum, finalmente ho messo insieme qualcosina di più complesso e vorrei il vostro parere
e alcune indicazioni su che strada muovermi, dato che fin ora ho configurato zeroshell in maniera semplice.
Quindi vi chiedo cortesemente conforto e qualche indicazione per sistemare al meglio la configurazione realizzata.

Problema, avevo una sede non più raggiunta da linea voce e dati, a causa di continui furti di rame, distante dalla sede principale dove ho linea dati 15 Km.
Ho risolto istallando due un ponte con tecnologia AirMax Mimo 2x2 a 5 Ghz con le relative parabole.
Il segnale è buono e dai test di velocita di trasferimento ottengo dati di 120 mB sia in tx che in rx.
Ho usato due zeroshell per realizzare una VPN tra le due sedi, in modo che il traffico voip e dati possa passare protetto tramite il collegamento via etere.
Come potete vedere nello schema grafico allegato la configurazione e la seguente:


Uploaded with ImageShack.us

Sede A configurata come client nella VPN
    ETH00: 192.168.0.175
    ETHO1: 172.172.172.2
    VPN00: 10.10.10.2
    GATEWAY: 172.172.172.1
    NAT Enable Interface: ETH0 – ETH1 – VPN00

Sede B configurata come Server nella VPN
    ETH00: 192.168.132.175
    ETHO1: 172.172.172.1
    ETHO2: 192.168.1.175
    VPN00: 10.10.10.1
    GATEWAY: 192.168.1.172
    NAT Enable Interface: ETH0 – ETH1 – ETH2 - VPN00


Con questa configurazione la SEDE A naviga su internet,
il centralino VoIP FreePbx funziona egregiamente,
la sede B dall’interfaccia eth00 naviga, ma non contatta la rete interna della sede B presente su eht00,
mentre le reti presenti sulle relative eth01 DMZ sono raggiungibili da entrambi le rete.
Non ho ancora configurato le regole di firewall, cosa che vorrei fare appena tutto mi funzione come vorrei.
La cosa che ora non mi è chiara e come contattare il centralino presente sulla eth00 della sede A
dall’interno della sede B collegata alla scheda eth00 relativa, cosa che ora non mi è possibile.
Chiaramente dovrei anche inserire la gestione QoS per agevolare e salvaguardare le comunicazione VoIP,
quindi ricapitolando vorrei consigli e vostre considerazioni su:
    Schema generico, se va modificato
    Come contattare la rete interna della sede A dalla sede B
    Suggerimenti se ne avete per agevolare e salvaguardare il traffico VOIP


Grazie anticipatamente a tutta la comunità di zeroshell. Wink
Top
Profilo Invia messaggio privato
usul



Registrato: 02/09/11 09:27
Messaggi: 5

MessaggioInviato: Ven Set 02, 2011 10:51 am    Oggetto: Rispondi citando

Rivedendo lo schema e riflettendo su quello che ho fatto credo di aver comesso un errore:
Inserendo nella sede A il gateway 172.172.172.1 che corrisponde all'interfaccia presente sulla sede B, baipasso la VPN e il traffico per internet e il VOIP viaggia non più sulla VPN come volevo che fosse.
Azz .. Rolling Eyes giusto o mi sbaglio?
e se cosi fosse, nella sede A dovrei inserire come gateway l'indirizzo della VPN della sede B? Rolling Eyes
Embarassed scusate la mia nubbigine, aspetto delle vostre... saluti.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Ven Set 02, 2011 2:21 pm    Oggetto: Rispondi citando

Ciao, cosi a naso , direi che forse ci sono un pò troppi nat e neanche una statica....ETH01 è un trunk o c'è un secondary ip address ? ci sono sia la subnet 192.168.1.0/xx ( DMZ ) che la 172.172.172.0/xx (questo in realtà sarebbe un pool pubblico , meglio usare 172.16.x.x >> 172.31.x.x per una classe B privata ) . se vuoi che il traffico dalla sede A verso tutte le destinazioni viaggi nel tunnel vpn , sulla sede A specifica come default gateway l'Ip della sede B della VPN00 (10.10.10.1 ) , sulla sede A , crei una statica per la 192.168.0.0/ (24 ?) con next hop 10.10.10.2 ... con la config. descritta , il nat , lo abiliti solo sulla ETH02 della sede B ..
P.S. nelle ubiquiti hai abilitato wpa2 aes ? se le usi come PtP routed non hai problemi , vero è che il tdma di airmax è propietario ed il traffico anche se in chiaro in realtà sarebbe criptato dalla vpn, però ...
Top
Profilo Invia messaggio privato
usul



Registrato: 02/09/11 09:27
Messaggi: 5

MessaggioInviato: Dom Set 04, 2011 8:54 am    Oggetto: Rispondi citando

Grazie per le tue indicazioni, come da te suggerito ho configurato il GW sulla sede A con l'indirizzo della VPN della sede B, e ora il traffico passa dalla VPN.
Non avevo definito delle NAT statiche perchè pensavo che gli indirizzi IP presenti della Sede A fossero visibili grazie alla VPN come accade con OpenVPN Client to Lan.
Quindi se ho ben capito anche se faccio la VPN devo stabilie delle NAT statiche? natiche statiche!! Laughing hhiihi
Mentre per
ETH01 è un trunk o c'è un secondary ip address ?
Nono ho capito bene cosa intendi per TRUNK (penso al VOIP), ma sulla ETH01, ho solo un indirizzo IP quello segnato,

Ti ringrazio nuovamente.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Set 04, 2011 9:57 am    Oggetto: Rispondi citando

Nello schema allegato , su ETH01 di sede B c'è l'indirizzo 172.172.172.1 ( che ti ricordo essere un pubblico..), tale interfaccia è collegata ad uno switch , dove sono presenti anche 2 server che però sembrano appartenere alla network 192.168.0.1 ( DMZ ? ), ... qual'è il default gateway per server1 e server2 ? Sempre dallo schema , sembra che il NAT sia abilitato su tutte le interfacce ( NAT Enabled Interfaces ) di tutti e due gli ZS..se non hai particolari esigenze , il NAT lo abiliterei solo sulla ETH02 di sede B , però , dipende da cosa vuoi fare , es:
tutti/alcuni hosts appartenenti alla lan della sede A (192.168.132.xx) devono /possono raggiungere tutti/alcuni hosts appartenenti alla lan della sede B (192.168.0.x) ?
vuoi ivece che tutto ciò che esce dalla sede A sia nattato , e quindi nascosto , ed esca nel tunnel VPN ? Con iptables , puoi fare praticamente ciò che vuoi...
P.S. il throughput del wireless lo hai testato con le utility ubiquiti o con qualche tool tipo iperf/jperf ?
ciao
Top
Profilo Invia messaggio privato
usul



Registrato: 02/09/11 09:27
Messaggi: 5

MessaggioInviato: Lun Set 05, 2011 7:45 am    Oggetto: Rispondi citando

Grazie ancora per le riflessioni che stai stimolando, intanto il GW dei server è quello della sede B, ho omesso la configurazione del NAT 1:1 dei server, perché era cosa fatta, ma in effetti non avendo specificato ho creato altre variabili a chi mi legge scusate.
Gli indirizzi IP li ho cambiati come da te indicato, non ho fatto nessuna attenzione nel inserire quelle classi solo perché ho pensato che quel collegamento non sarebbe andato da nessuna parte, ma non è corretto usarli e quindi ora ho seguito il tuo suggerimento 172.31.31.x
Il throunghput del wirelwss è testato con il test di ubiquiti, di cui ho letto che non è molto attendibile.
Nei ubiquiti ho abilitato wpa2 aes.

Ricapitolo le funzione che vorrei raggiungere.
Di fatto le due sedi non devono comunicare tra di loro tranne per le relative configurazioni da parte della sede B sulla Sede A,
quindi il server PBX e i telefoni dovrebbero essere raggiungibili solo dalla sede B.

Sede A
Tutto il traffico deve passare nella VPN
Navigazione Internet,
Non deve contattare le macchine presenti nella sede B
Deve poter contattare i server nella DMZ

Sede B
Navigazione Internet
Accesso alla rete interna della sede A.
Accesso alla DMZ

Grazie ancora delle preziose indicazioni.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it