vpn tra nattato e publico dinamico

[delosfast]

salve,
sto provando/configurando una vpn tra un router in rete fastweb senza ip pubblico ed un altro su ip pubblico dinamico.

leggendo anche nel forum credo che l'unica cosa sia usare sul dinamico un'IOS che supporti il dyndns per farlo raggiungere dal nattato giusto?
ed a quanto trovato in giro è supportato solo dagli IOS:
12.3(8)YA
12.3(14)T
12.2(28)SB

su cisco features navigator non compare nessuna delle versioni sopra riportate e le voci DDNS o simili non sono tra le opzioni...sbaglio qualcosa già nel progetto?
se no, sapete dirimi se l'IOS necessaria è ancora disponibile?

o se ci sono altre opzioni oltre che prendere un ip statico?

[metalgalle]

Dunque,
x il discorso DynDns, non sei obbligatissimo ad avere il client sul router, ti basterebbe installare il client DDNS su di un PC/server all'interno della rete ed il gioco è fatto.

Il problema vero sta qui:

un router in rete fastweb

Per quanto ne so, fastweb, a meno di contratti particolari, taglia le porte 500 e 4500 utilizzate per le VPN, proprio per impedire agli utenti di poter generare tunnels sulla loro rete senza speifica autorizzazione di Fastweb stessa.

L'unico modo per ovviare al problema ingannando Fastweb, è utilizzare le VPN over TCP sulla porta 10000.

Spero di essere stato utile.

Ciao!

[delosfast]

non so nulla del blocco delle vpn...non ho mai provato ma non mi stupisce.

riguardo la soluzione proposta è come ci entro ora, ma nessun pc è sempre acceso


una domandona....secondo te è possibile far fare questo lavoro ad una ip camera (che sta per essere acquistata)?

[metalgalle]

non so nulla del blocco delle vpn...non ho mai provato ma non mi stupisce.

riguardo la soluzione proposta è come ci entro ora, ma nessun pc è sempre acceso


una domandona....secondo te è possibile far fare questo lavoro ad una ip camera (che sta per essere acquistata)?

MMMMMMMMMM

A braccio ti direi di no, ma è una questione legata solo al fatto che su una IP Camera non credo che sia integrato il client DynDNS.
Qualora l'IP cam abbia il client DynDNS è senz'altro un'ottima idea!

[delosfast]

ho cercato e tra i modelli che stiamo valutando qualcuno ha il supporto per il dyndns...tanto meglio.

ora la parte interessante:
che tipo di vpn devo (provare) a fare tra i due router?

ovviamente su quello dinamico non posso specificare la tunnel destination...perché non è visibile...cosa mi consigliate?

[metalgalle]

ho cercato e tra i modelli che stiamo valutando qualcuno ha il supporto per il dyndns...tanto meglio.

ora la parte interessante:
che tipo di vpn devo (provare) a fare tra i due router?

ovviamente su quello dinamico non posso specificare la tunnel destination...perché non è visibile...cosa mi consigliate?

Dunque, dall'alto della mia conoscenza di IOS, non posso certo dirti che righe di codice inserire.....

Ad ogni modo, io avevo fatto una cosa del genere tra due router connessi a linee con IP dinamici e funzava, la VPN deve essere:
- Aggressive
- NATT (ovviamente)
- ID specifica l'fqdn che userai anche con DDNS

Piccola precisazione, per via della natura astrusa della rete fastweb, sarai costretto a far alzare il tunnel SEMPRE dal lato Fastweb, poichè il router dietro Fweb non può essere raggiunto dall'esterno...

X l'IOS, spera in un post di Wizard...!

[Wizard]

Mi disp ma ho l'account su cisco.com che non funziona oggi quindi nn posso controllare

[delosfast]

- Aggressive

- NATT (ovviamente)

- ID specifica l'fqdn che userai anche con DDNS

ho capito comincio a cercare/studiare

Piccola precisazione, per via della natura astrusa della rete fastweb, sarai costretto a far alzare il tunnel SEMPRE dal lato Fastweb, poichè il router dietro Fweb non può essere raggiunto dall'esterno...

si per quello si...vabé poco male...ma per il momento la vedo parecchio complicata.
se ci riesco (con il vostro aiuto) sarà una soddisfazione enorme

[Wizard]

Nn puoi farti dare 1 IP pubblico statico da fastweb?
Sarebbe tutto + semplice e lineare

[delosfast]

purtroppo siamo a budget zero
(oltretutto la sede interna non è una small business)

[delosfast]

scusate ragazzi, sto provando ad informarmi ma non ho capito granché...MATERIALMENTE come si mette in piedi una vpn da dietro un nat?

cercando configurazioni simili ho trovato solo quelle dei pix

ps: ma il NAT-T (se a questo conduce la mia strada) a che livello di certificazione è?
io ho mai visto nulla di simile sul materiale ccna...
c'è un abisso di differenza tra queste ed una vpn classica

SOPRATTUTTO:
una volta dipanata la nebbia...che IOS mi serve?
suppongo che c1700-sy7-mz.123-6.bin non vada bene...visto che ci siamo (me ne suggerite una che supporti anche l'ssh?)

grazie mille a tutti

[metalgalle]

ps: ma il NAT-T (se a questo conduce la mia strada) a che livello di certificazione è?
io ho mai visto nulla di simile sul materiale ccna...
c'è un abisso di differenza tra queste ed una vpn classica

Non so il livello della certificazione che viene richiesto, ma il NAT-T (NAT traversal) è un escamotage che è stato ratificato x ovviare al problema della modifica dell'intestazione IP del pacchetto ESP, cosa che in modalità MAIN fa decadere la VPN.
In sostanza, il demone ipsec si accorge della presenza del NAT e passa il traffico sulla porta 4500 UDP, comportandosi di conseguenza, ovvero digerendo correttamente il cambio di intestazione.

SOPRATTUTTO:
una volta dipanata la nebbia...che IOS mi serve?
suppongo che c1700-sy7-mz.123-6.bin non vada bene...

I don't know.... Sito Cisco e feature browser?? [/quote]

[delosfast]

ho ravanato nel cisco feature navigator...trovato l'IOS...ordinato upgrade flash e ram.

l'unica cosa che non mi torna è:

non riesco a trovare documentazione su DMVPN che non sia per SDM...ovviamente parlo di DMVPN per un discorso di studio e scalabilità.

per il momento mi starebbe bene anche EasyVPN (per quanto ne ho capito).

[RJ45]

non riesco a trovare documentazione su DMVPN che non sia per SDM...ovviamente parlo di DMVPN per un discorso di studio e scalabilità.

L'argomento che ti serve è ben illustrato nel testo per l'esame 642-503 SNRS...

[delosfast]

per chi conosce il francese.....MINCHIA!