Si se fai IPSec over L2TP funziona. Per questo chiedevo i dettagli di come volevi fare IPSec, lo puoi fare in tanti modi.
Saverio Il 9 gennaio 2015 10:40, Paolo Colucci <paoloc...@gmail.com> ha scritto: > Grazie per i consigli. > > La VPN tra le due sedi era già fatta in IPSec ma prima di Vodafone avevano > una ADSL con modem che faceva da bridge verso il loro router/firewall VPN. > Quindi il loro tecnico voleva migrare la configurazione esistente ma ha il > problema della NAT. > > I loro firewall/router VPN hanno un firmware proprietario che penso permetta > le varie tipologie di VPN: > -IPSec > -PPTP > -L2TP > > Presumo si possa attivare il NAT-T (non sono entrato nella configurazione > delle macchine per verificare). > > > In realtà non penso a loro interessi avere una grande "sicurezza" per cui > abbiano scelto IPsec, basta che ci sia una VPN Lan-to-Lan in modo da > accedere alle varie macchine che hanno collegate nell'altra sede. > > > Ho trovato questa configurazione pensate possa andare bene ? > > > > > Il giorno 9 gennaio 2015 00:33, Saverio Proto <ziopr...@gmail.com> ha > scritto: > >> Non so per quale motivo vuoi fare IPSec. >> Io darei uno sguardo a questo: >> http://www.tinc-vpn.org/ >> >> Saverio >> >> Il 8 gennaio 2015 21:41, Paolo Colucci <paoloc...@gmail.com> ha scritto: >> > Mi sono dimenticato di chiedere quale altre soluzioni sono possibili in >> > questo caso? >> > >> > Il 08/gen/2015 21:40 "Paolo Colucci" <paoloc...@gmail.com> ha scritto: >> > >> >> La IPSec penso sia di tunnel mode essendo una Lan2lan, ma non so dire >> >> con >> >> certezza se è con cifratura AH o ESP, ma in caso penso si possa >> >> configurare. >> >> >> >> Ma il nat-t su Ipsec non serve proprio a eliminare questo tipi di >> >> inconvenienti quando un lato della Vpn è nattato?? >> >> >> >> Inoltre il fatto che sulla Vodafone station venga instradato tutto il >> >> traffico sul router Vpn con il Nat Statico può essere utile? >> >> >> >> S >> >> >> >> Il 08/gen/2015 21:18 "Saverio Proto" <ziopr...@gmail.com> ha scritto: >> >>> >> >>> IPSec e NAT non vanno sempre d'accordo. >> >>> Devi dare dettagli sulla tua implementazione di IPSec. >> >>> Se vuoi fare delle SA IPSec Tunnel Mode classiche con il NAT non >> >>> funzionano: >> >>> >> >>> https://tools.ietf.org/html/rfc3715#section-2 >> >>> >> >>> la VPN Lan to Lan si può fare, ma non si puo fare con IPSec se c'è un >> >>> NAT di mezzo >> >>> >> >>> Saverio >> >>> >> >>> >> >>> Il 8 gennaio 2015 20:59, Paolo Colucci <paoloc...@gmail.com> ha >> >>> scritto: >> >>> > Salve a tutti, ho un quesito da proporvi riguardo la fattibilità di >> >>> > una >> >>> > VPN >> >>> > IpSec Lan-to-Lan di cui una dietro Nat. >> >>> > >> >>> > >> >>> > SEDE A: >> >>> > router/server VPN con ip pubblico statico su cui già sono attive >> >>> > altre >> >>> > VPN >> >>> > con altre sedi >> >>> > >> >>> > SEDE B: >> >>> > il router/server VPN dovrà essere messo in cascata ad una Vodafone >> >>> > Station, >> >>> > sulla quale non è disponibile la configurazione come Bridge per dare >> >>> > l'ip >> >>> > pubblico al router VPN. >> >>> > >> >>> > Secondo un tecnico non è possibile fare una VPN Lan-to-Lan se un >> >>> > peer >> >>> > ha un >> >>> > indirizzo Privato. >> >>> > >> >>> > Ho visto per le VPN Ipsec esiste il NAT Traversal che viene incontro >> >>> > a >> >>> > questi tipi di problemi: >> >>> > >> >>> > http://it.wikipedia.org/wiki/IPsec#NAT_Traversal >> >>> > >> >>> > >> >>> > Inoltre nella configurazione della vodafone station è possibile >> >>> > attivare il >> >>> > NAT statico verso un singolo host (il Router VPN è l'unica >> >>> > interfaccia >> >>> > collegata alla station) oltre che impostare completamente il Port >> >>> > Forwarding >> >>> > e disabilitare il Firewall. >> >>> > >> >>> > >> >>> > Secondo voi è possibile effettuare questa VPN prima di fare delle >> >>> > prove >> >>> > ? >> >>> > >> >>> > Grazie >> >>> > >> >>> > >> >>> > _______________________________________________ >> >>> > Wireless mailing list >> >>> > Wireless@ml.ninux.org >> >>> > http://ml.ninux.org/mailman/listinfo/wireless >> >>> > >> >>> _______________________________________________ >> >>> Wireless mailing list >> >>> Wireless@ml.ninux.org >> >>> http://ml.ninux.org/mailman/listinfo/wireless >> > >> > >> > _______________________________________________ >> > Wireless mailing list >> > Wireless@ml.ninux.org >> > http://ml.ninux.org/mailman/listinfo/wireless >> > >> _______________________________________________ >> Wireless mailing list >> Wireless@ml.ninux.org >> http://ml.ninux.org/mailman/listinfo/wireless > > > > _______________________________________________ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > _______________________________________________ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless