creare una VPN tra sito A e sito B

[principiante92]

supponiamo di avere un sito A dove risiedo e un sito B (esempio seconda casa)con apparati ubiquiti che voglio monitorare con un serverino.
da cosa devo partire? quale tipologia di tunnel si usa (pptp,IPsec,L2TP)?
si può fare un tunnel anche nel caso di ip dinamici ovviamente sfruttando un dyndns?
non l'ho mai fatto e non saprei come muovermi.
vorrei che questa mia curiosità diventasse oltre che una mia curiosità, soprattutto un tutorial utile a tutti! grazie a chi collaborerà alla sua creazione.

[admin]

supponiamo di avere un sito A dove risiedo e un sito B (esempio seconda casa)con apparati ubiquiti che voglio monitorare con un serverino.
da cosa devo partire? quale tipologia di tunnel si usa (pptp,IPsec,L2TP)?
si può fare un tunnel anche nel caso di ip dinamici ovviamente sfruttando un dyndns?
non l'ho mai fatto e non saprei come muovermi.
vorrei che questa mia curiosità diventasse oltre che una mia curiosità, soprattutto un tutorial utile a tutti! grazie a chi collaborerà alla sua creazione.

IPsec è il più sicuro, ma più rognoso.
PPtP e L2TP sono sufficienti in situazioni più domestiche...

Sui Router UBNT puoi provare con:
PPtP
IPsec
L2TP

Sugli altri apparati UBNT, non sono aggiornato, ma non credo
ci siano nativi tali protocolli, si dovranno aggiungere...

Intanto specifica due cose:

1) sito A e sito B hanno stessa subnet o differente?
2) apparati che generano le VPN solo UBNT?

[principiante92]

Eccomi. nel frattempo ieri.... notte insonne e mi sono scervellato..
sono riuscito a creare una IPsec mooolto blanda di cui posto le schermate

[principiante92]

e il tunnel è fatto: pingo la classe 192.168.10.x e la 192.168.1.x da entrambe le parti.
però in teoria chi naviga es su google nel punto A o B esce dal gateway,abbandonando il tunnel e mettendo a rischio la rete.
forse dovrei stabilire una rotta dove tutto il traffico uscente da b converga sul router A dove vado a creare un qualcosa come firewall che mi protegga il tunnel?
avendo io ip dinamici ho provato prima con gli ip temporaneamente assegnati e funzionava.
poi ho riportato i dyndns e tutto funziona.
i router non erano ubiquti ma altro.
sarà mia premura fare prove con gli edge che mi hai indicato.a parer tuo sono semplici come utilizzo o siamo tipo su Mikrotik?
per adesso grazie!

[admin]

e il tunnel è fatto: pingo la classe 192.168.10.x e la 192.168.1.x da entrambe le parti.
però in teoria chi naviga es su google nel punto A o B esce dal gateway,abbandonando il tunnel e mettendo a rischio la rete.
forse dovrei stabilire una rotta dove tutto il traffico uscente da b converga sul router A dove vado a creare un qualcosa come firewall che mi protegga il tunnel?
avendo io ip dinamici ho provato prima con gli ip temporaneamente assegnati e funzionava.
poi ho riportato i dyndns e tutto funziona.
i router non erano ubiquti ma altro.
sarà mia premura fare prove con gli edge che mi hai indicato.a parer tuo sono semplici come utilizzo o siamo tipo su Mikrotik?
per adesso grazie!

Devi configurare in modo che SOLO le classi che ti interessano vadano sul tunnel, tutte le altre sul default GATEWAY.
Quindi metterai una (o più) route su ciascuno dei due router che punta al router "opposto" ruotando la destinazione della rete "opposta".

[thema3x]

Che livello

Questo forum cresce giorno dopo giorno !!!

GRAZIE ADMIN E GRAZIE A TUTTI GLI USERS

Avanti così !

Ciao

TheMa3x

[principiante92]

@Admin :ho fatto uno schemino pratico (scusate...se fatto manualmente..)
supponendo di fare il tunnel tra la classe 192.168.4.1/24 e 192.168.2.1/24 e lasciando fuori dal tunnel(come canta il buon caparezza..)la 192.168.3.1/24 e 192.168.1.1/24 mi aiuteresti nelle rotte per cortesia?
io la butto li:
router sito b :se dst address:1.1.1.2/30 allora gateway:1.1.1.1/30
router sito a :se dst address: 1.1.1.1/30 allora gateway:1.1.1.2/30
..ma sicuramente sono sbagliate


grazie mille e complimenti!

[redfive]

Con i cisco definisci il traffico 'interessante' tramite le ACL (in questo caso, associata poi alla crypto map per stabilire quale traffico deve passare attaverso il tunnel)
Altra soluzione veloce, piu' generica, su A
ip route 192.168.2.0 255.255.255.0 via 10.1.1.1 (supponendo che questo sia l'inner ip del tunnel VPN)
Su B
ip route 192.168.4.0 255.255.255.0 via 10.1.1.2 (supponendo che questo sia l'inner ip del tunnel VPN)
Poi, , con regole FW permettti/neghi cioò che vuoi...
ciao

[admin]

router sito b :se dst address:1.1.1.2/30 allora gateway:1.1.1.1/30
router sito a :se dst address: 1.1.1.1/30 allora gateway:1.1.1.2/30

Queste non le ho capite.

Ad esempio, se da un dispositivo della rete 192.168.3.xxx (sorgente) dal Sito A desideri raggiungere un dispositivo sulla rete 192.168.1.xxx (destinazione) del Sito B, dovresti mettere una route come suggerita da redfive:

192.168.1.0/24 ha come gateway 1.1.1.1/30


Ovviamente, senza la route di ritorno, non ti risponderebbe:

192.168.3.0/24 ha come gateway 1.1.1.2/30


Le routes vanno ripetute per tutte le eventuali altri reti, a coppie andata/ritorno.