Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

condivisione internet azienda tramite VPN

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
t.moro



Registrato: 03/01/08 15:54
Messaggi: 19

MessaggioInviato: Mar Feb 12, 2013 12:16 pm    Oggetto: condivisione internet azienda tramite VPN Rispondi citando

ciao a tutti, prima di creare casini vorrei un consiglio da voi esperti sulla condivisione della connessione tramite VPN.
Nel ns dipartimento abbiamo a disposizione 3-4 indirizzi per uscire su internet su una lan aziendale (tutte le nostre macchine sono 130.0.2.x),volevo distribuire almeno una macchina per stanza con accesso internet,mantenendo anche una limitazione di banda (motivo per cui non ci danno + indirizzi in uscita) sono però distribuite su più piani e stanze perciò non posso fare fisicamente un NAT su zeroshell.
Avevo pensato di creare una VPN sulla macchina con zeroshell e connettere quella su internet (la rete fisica resta sempre la ns lan).

Ci sono soluzioni più eleganti e semplici?

Come posso fare per non creare un loop di traffico, sempre che ciò accada in modo di non far passare tutto sulla linea vpn?
Es, il pc client (130.0.2x) che contatta un servizio sul server interno della lan (130.x.x.x) vorrei che lo contatti direttamente e che il traffico non passi per il pc con zeroshell e che il pc con zeroshell gestisca solo il traffico per internet, sono stato abbastanza chiaro?
Devo fare delle route su zeroshell? o devo impostarle sui client?

grazie
Top
Profilo Invia messaggio privato Invia e-mail MSN
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mar Feb 12, 2013 2:07 pm    Oggetto: Rispondi citando

Mi sembra che le idee siano confuse...
A che ti serve la VPN, tanto per cominciare? Le stanze ed i piani sono in azienda o da un'altra parte?

Prova a fare uno schema di quel che ti serve. Un box per ogni location, una linea per ogni tipo di connessione. Vedrai che chiarendoti le idee diventerà più semplice implementare quel che ti serve.
Top
Profilo Invia messaggio privato
t.moro



Registrato: 03/01/08 15:54
Messaggi: 19

MessaggioInviato: Mer Feb 13, 2013 8:25 am    Oggetto: Rispondi citando

in pausa pranzo, se ho tempo vi faccio lo schema, ma è semplice e già implementato, abbiamo circa 60 macchine, tutte il lan con diversi switch chissà dove e quanti,ogni macchina ha 1 connessione, anche se alcune hanno 2 schede a disposizione, quel che manca sono le prese a muro pertanto in alcune stanza abbiamo messo gli switch da 4 -8 porte presi al supermercato (dlink o netgear o robe del genere)
Top
Profilo Invia messaggio privato Invia e-mail MSN
t.moro



Registrato: 03/01/08 15:54
Messaggi: 19

MessaggioInviato: Mer Feb 20, 2013 10:29 am    Oggetto: Rispondi citando



ecco qua , scusate il ritardo!!
Come dicevo, vorrei che i pc in rete (su entrambe le subnet che comunque si pingano) possano usare la connessione sulla macchina zeroshell che ha un ip abilitato ad uscire su internet.
Avevo pensato ad una VPN, nattandola sulla connessione fisica ma la mia domanda e':
se il pc 130.0.y.x deve contattare 130.0.y.2x o 130.0.z.x lo interroga direttamente o tutto il traffico passa via vpn tramite la macchina zeroshell?che regole devo impostare per usare la vpn SOLO per internet e non intranet?devo impostarlo su zeroshell o su tutte le macchine?

grazie, spero di essere stato chiaro.
Top
Profilo Invia messaggio privato Invia e-mail MSN
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Feb 20, 2013 2:17 pm    Oggetto: Rispondi citando

Mi paiono errate le netmask: dovrebbero essere due reti /24 non un'unica rete /16.
Comunque, se la rete di destra e quella di sinistra sono un unico dominio di broadcast, puoi semplicemente impostare ZS come default gateway, senza VPN.
Per le altre domande è meglio se prima cerchi di capire come funziona il routing: se gli indirizzi src e dst messi in AND bit-a-bit con la netmask risultano uguali, allora appartengono alla stessa sottorete e non passano dal gateway. Se il risultato è diverso, la connessione viene inviata al gateway che provvederà ad instradarla.
Top
Profilo Invia messaggio privato
t.moro



Registrato: 03/01/08 15:54
Messaggi: 19

MessaggioInviato: Gio Feb 21, 2013 5:05 pm    Oggetto: Rispondi citando

no, le reti sono corrette, e' tutto in una rete aziendale /16.
Ma se imposto il gateway di default su zeroshell non mi fa proprio quello che voglio evitare e cioe' che tutto passa da quel pc?
nel caso si possa fare come dici, su zeroshell devo impostare qualcosa nella schermata di routing?

non vorrei andare per tentativi per non impallare tutti i servizi aziendali
Top
Profilo Invia messaggio privato Invia e-mail MSN
t.moro



Registrato: 03/01/08 15:54
Messaggi: 19

MessaggioInviato: Gio Feb 21, 2013 6:21 pm    Oggetto: Rispondi citando

ok, mi ero dimenticato un piccolo particolare, c'e' un server squid silenzioso, messo per bloccare youtube, facebook e altra roba, su una macchina win8 ho fatto una prova nattando la connessione vpn fatta in l2tp/ipsec, e va.

Posso impostar un filtro su zeroshell per le richieste interne o si tara in automatico windows per usare l'interfaccia lan per l'intranet?

Ho anche macchine mac, che mi consigliate sempre ipsec o openvpn?
Top
Profilo Invia messaggio privato Invia e-mail MSN
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Mar 01, 2013 10:29 am    Oggetto: Rispondi citando

t.moro ha scritto:
no, le reti sono corrette, e' tutto in una rete aziendale /16.
Ma se imposto il gateway di default su zeroshell non mi fa proprio quello che voglio evitare e cioe' che tutto passa da quel pc?

Non hai letto quel che ti ho scritto?
Se (ind1 and nm) == (ind2 and nm) allora non si passa dal gateway.
Ma il default gw lo devi impostare *sui client* in modo che punti a ZS, e quello di ZS che punti al gateway di uscita.
Se 130.0.1.2 prova a contattare 130.0.55.23 lo fa direttamente.
Se 130.0.1.2 prova a contattare 8.8.8.8 lo fa passando dal default gw.
E non serve nessuna VPN!

t.moro ha scritto:
nel caso si possa fare come dici, su zeroshell devo impostare qualcosa nella schermata di routing?

Probabilmente è sufficiente aver impostato correttamente il default gw di ZS.

t.moro ha scritto:
non vorrei andare per tentativi per non impallare tutti i servizi aziendali

Se (come pare) non hai esperienza, ti consiglierei di fare le prove in un ambiente di test.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it