Hardware Tweakers

Ho un problema con l'installazione di una VPN. La VPN è fatta tra uno ZyWall 10 e uno Zywall 2.
Anche volendo solo connettere due PC, impostando quindi in configurazione IpSec "Single Address" e specificando gli indirizzi IP delle due macchine, che sono delle stessa classe:

10.10.10.2---ZyWall2--------------ZyWall10-------10.10.10.4

e poi ho provato anche:

10.10.10.2---ZyWall2--------------ZyWall10-------10.10.9.4

adeguando le maschere.

In entrambe i casi il tunnel VPN sale ma i pc non riescono a pingarsi. Perchè???
Qualcuno ha qualche suggerimento?
Io pensavo o a un problema di maschere o di gateway da impostare da qualche parte ma non riesco a venirne fuori. Qualsiasi idea è ben accetta.

mi pare che sia necessario modificare le impostazioni di sicurezza dei roter
per es io posso pingare il mio pc di casa dall'esterno ma mi risponde host sconosciuto o non raggiungibile dato che ho disabilitato i ping

aggiorna anche all'ultima versione i firmware di tutti e 2... non è la prima volta che sento che in release vecchie non funziona bene la vpn tra modelli diversi

Giusto, ma la cosa che mi fa strano è che se per esempio io provo da uno dei due pc a tracciare il'ip interno dell'altro, vedo che il mio pachetto arriva al router e li si ferma.

:x :x :x

Per farmi capire: in linux per esempio, stabilita una vpn vedo nelle routing table del server vpn come esista una riga che si occupi di rilanciare il mio pacchetto ipsec verso l'altro lato della vpn.
Qui non succede,il mio pacchetto non viene rilanciato, sembra non "routi" attraverso il tunnel.

I software sono pressochè identici, comunque proverò a cercare firmware nuovi per entrambi. :D

A mio avviso è la configurazione dei router che ha qcs che non va......

Non so quanto sei preparato.... cmq su questo sito ci sono guide per tutti i router, anche i tuoi.... se vuoi dare un'occhiata al forward delle porte su quei router:

http://www.portforward.com/zyxel/zywall1.htm

http://www.portforward.com/zyxel/zywall10.htm

Male che va.... sarà un link utile a molti..... :roll:

Davide io ho il tuo stesso problema: debbo connettere in VPN due Zywall2, riesco a fare le VPN sia normali sia in NAT Traversal dato che debbo passare due router (ho gli zywall a monte dei router sia da un lato che dall'altro) su fibra ottica in IP statico, ma l'ironia della sorte vuole che il tunnel si crea ed i ping non funzionano. Il tracert sotto xp delle due macchine che debbono vedersi si blocca sia da una parte che dall'altra sui rispettivi Zywall !!!

Ho creato tunnel con autenticazione in IP e su Dominio ma il problema è
sempre lo stesso.

L'assistenza Zyxell è vaga e continua ad inviarmi una mail di connessione
fra uno zywall10 e uno zywall2 sostenendo che deve essere attivato il firewall e deve essere forwardata la porta 500 ma ciò non mi risulta necessario come ho letto anche da altri forum (il firewall può essere spento, è sufficiente che sia forwardata la porta 500 dai router ai firewall ed in effetti in tale condizioni i tunnel si creano). Hai qualche novità su questo problema ?

Ho risolto il problema ed ora la mia VPN funziona: alla base di tutto vi era un problema di NAT replicata lungo il tunnel; mi spiego meglio:


LAN Ufficio 1 - Zywall2_1 - Router_1 - (Internet) - Router_2 - Zywall2_2 - LAN Ufficio 2

LAN Ufficio 1: 192.168.5.X

Zywall2_1:LAN 192.168.5.254 - WAN 192.168.1.102

Router_1: LAN 192.168.1.254 - WAN (IP statico pubblico Internet)

Router_2: WAN (IP statico pubblico Internet) - LAN 192.168.0.1

Zywall2_2: WAN 192.168.0.2 - LAN 192.168.1.254

Ufficio 2: 192.168.1.X

Il conflitto nasceva fra il lato LAN del Router_1 ed il lato LAN dello Zywall2_2: probabilmente il Router_1 dopo la creazione del tunnel non sapeva come gestire i pacchetti e quindi il ping non andava.

Ho risolto mettendo un alias sul lato LAN del router_1 con 192.168.4.254
e modificando il lato WAN del Zywall2_1 con 192.168.4.253 ed ora funziona tutto ping compresi, però se possibile consiglio di non utilizzare gli alias e di rimappare per intero il lato LAN qualora sia possibile.

Si noti che il router_1 è un vecchio Zyxel 310 con Firmware aggiornato connesso su fibra ottica di Acantho ed il router_2 è un costosissimo Cisco in comodato d'uso da parte di Fastweb (serve per il VoIp); è ovviamente necessario abilitare il NAT Traversal e forwardare la porta 500 verso gli Zywall2; non serve altro !!! (oltre al fatto che ovviamente ogni oggetto a valle è gateway del rispettivo oggetto a monte).

Nota per il supporto tecnico Zyxel: è ASSOLUTAMENTE ERRATO sostenere che il firewall debba essere abilitato per poter creare il tunnel; io ho fatto i test con tutti e due i firewall spenti e la VPN funziona benissimo (del resto era un'affermazione che non trovava una motivazione logica al suo sostegno) !!!

Ulteriore nota: è uscito il firmware aggiornato per lo Zywall2 che ora permette di fare 2 tunnel completi (ovvero su un range di indirizzi totali e non fra 2 sole macchine) permettendo di ottenere una VPN fra 2 uffici connettendo tutte le macchine; la release è la V3.62 scaricabile dal link http://www.zyxel.com/support/download.php.

Saluti, Ing. Matteo Tubertini -ASTEC- (info@astec.ms)