Apertura porte Albacom IAD Aethra SV1042 per VPN IPSec

[atxkors]

Salve a tutti,

mi sto apprestando alla mia prima configurazione di una VPN e per fortuna si tratta di una casistica relativamente semplice: dovrò installare un ASA 5505 con licenza base in una sede che accede ad internet tramite un contratto voce + dati di Albacom (l'apparato è uno IAD Aethra SV1042) per permettere (pochissime) connessioni da remoto tramite il Cisco VPN Client installato su dei portatili.

La domanda è questa: lo IAD di Albacom, a detta della stessa Albacom, nasce con praticamente tutte le porte chiuse (sebbene funzionino senza problemi FTP, navigazione, email, ecc.) ed ho paura che questo mi crei non pochi problemi; considerato il tipo di VPN che vorrei realizzare, quali porte devo farmi aprire dai tecnici Albacom? Considerato che si prendono 4 gg lavorativi per evadere questo tipo di richieste vorrei avvantaggiarmi...

[Wizard]

Nessuna apertura delle porte.
Il router del isp dovrà fare solo da modem, non dovrà avere nessun filtro ne NAT ma solo un ip pubblico alla eth
Tu darai poi un altro ip pubblico alla outside del asa e poi configurerai tutto il resto!

[atxkors]

Wizard,

come al solito grazie per le tue veloci risposte.

Quindi, se non ho capito male, devo mandare una mail ad Albacom (questa è la procedura) per dirgli di aprire tutte le porte / eliminare ogni tipo di filtro e disabilitare il NAT? Mi sembra una richiesta abbastanza invasiva, prevedo noie da parte di Albacom... inoltre ciò non interferirà con i loro servizi VOIP? o le due cose viaggiano separate?

Scusami ma essendo totalmente inesperto di queste cose mille dubbi mi attanagliano...

[Wizard]

Per il voip non so...devi chiedere a loro però, ci sono molti però...
Puoi fare così al max:

Chiedi un nat delle porte relative alla vpn sul router:

500 udp
4500 udp
22 tcp (per la gestione remota del firewall)

[atxkors]

Wizard, non so come ringraziarti. Oggi stesso provo a richiamare i tecnici Albacom esponendogli il problema e tentando di farmi passare un loro tecnico.

Vi tengo aggiornati tramite questo post.

Per il momento grazie mille,

Francesco

[Francesco87]

Ciao All,
mi intrometto nel thread perchè ho un problema simile. Vorrei implementare una VPN di accesso remoto terminata su un router Cisco che sta dietro un routerino da supermercato che mi da la connettività ad internet.

Ho un solo IP pubblico (sulla interfaccia wan del routerino-da-supermercato) e devo per cui usare indirizzi privati sul router Cisco su cui deve terminare la VPN.

E' fattibile? E' sufficiente anche nel mio caso forwardare le porte UDP indicate sopra verso l'interfaccia esterna del router Cisco con IP privato?

Grazie

[luca.prina]

Ciao...
ti posto la mia esperienza di utente alle "prime" armi con Cisco ma...
la situazione che hai tu è abbastanza frequente e mi è capitato spesso di implementare vpn in questo modo...
le porte fondamentali sono appunto
UDP 500
UDP 4500
ricordati anche di abilitare il nat-traversal sul firewall/router

Spero di non aver detto cavolate (nel caso, sorry ) e spero di averti aiutato.. un saluto a tutti
Luca

[Francesco87]

Ottimo grazie, appena ho un attimo di tempo testo e vi faccio sapere

Saluti