VPN Remote Access su che prodotto orientarsi?

Tutto sulle reti Wired!

VPN Remote Access su che prodotto orientarsi?

Messaggiodi Paolomis » 12 aprile 2016, 23:29

Buonasera, dovrei ahimè cestinare causa passaggio a VDSL un Cisco unified 500 e sono molto indeciso su quale prodotto orientarmi anche perchè il precedente apparato fungeva anche da VPN Server con la vecchia ma funzionante app di cisco VPN Client.
L'obbiettivo primario è consentire una accesso remoto a client mobili, tuttavia in futuro i due ruoli potrebbero convivere mettendo in site to site due sedi e lasciando in remote access l'accesso per i teleworkers.

In sede lavoriamo gia abbastanza bene con Unifi AP e Switch con svariate VPN, e pertanto mi sembrava opportuno aggiungere un ulteriore livello di gestione al Controller dotandolo di un Unifi USG. Da valutare se questo o il Pro 4.

Su UBNT.com leggevo che sull'usg i remote access andrebbero attivati con un workaround perchè non sono pienamente testati come invece un accesso permanente site to site.

Vi chiedo pertanto meglio un USG usando il Controller Unifi o puntare su un EdgeRouter usando EdgeOS?

Grazie a chi vorra dedicarmi qualche minuto
Paolomis
Beginner
 
Messaggi: 26
Iscritto il: 7 luglio 2014, 14:43

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi redfive » 13 aprile 2016, 13:11

Personalmente, mi trovo bene con EdgeOs, vpn con openvpn, auth. PKI e assegnazione statica dell ip address in funzione del CN sul certificato (--client-config-dir /etc/openvpn/ccd...), e quindi possibilità di assegnare firewall policies nello ZBFW specifiche utente per utente, e funziona perfettamente 'al primo colpo' sia da android che da win o *nix .... ( con win, ad esempio è sempre un challange far 'funzionare' il vpn client di gino-cisco :) )
Inoltre, via cli, su EdgeOs fai un sacco di cose.....
USG lo lascierei perdere, della serie UniFi uso 'solo' gli APs e controller....
ciao
redfive
NetworkSpecialist
 
Messaggi: 804
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi Paolomis » 13 aprile 2016, 17:51

Edgeos ha già openvpn all'interno o usi una macchina dedicata per la VPN e edgeos svolge solo il routing?
Paolomis
Beginner
 
Messaggi: 26
Iscritto il: 7 luglio 2014, 14:43

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi redfive » 13 aprile 2016, 21:23

E' già integrata, configurabile solo da cli, ma se hai un pò di esperienza con la cli cisco, questa è una passeggiata....
ciao
redfive
NetworkSpecialist
 
Messaggi: 804
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi Paolomis » 13 aprile 2016, 23:11

Si, leggendo i vari datasheet ho compreso. Ho acquistato x test il routeredge x, se mi soddisfa prendo un modello superiore.... Per 65€ si può fare....

Vedremo.... La cli non mi preoccupa anzi la preferisco di gran lunga alla GUI, più che altro devo studiare la nuova sintassi.... Grazie mille x il supporto.
Paolomis
Beginner
 
Messaggi: 26
Iscritto il: 7 luglio 2014, 14:43

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi redfive » 13 aprile 2016, 23:22

Per la dhkey, anche se puoi generarla direttamente da edgeos, te lo sconiglio vivamente, almeno se intendi utilizzare una 4096 bit .... ci ho provato, dopo un giorno era ancora li a contare .... 1024 e 2048 bit ancora accettabile, ma non oltre ... alla fine, quella a 4096 bit la ho creata con openssl da un pc ed importata (insieme ad cert. CA, certificati host e chiave privata, generati sempre da un altro pc).
ciao
redfive
NetworkSpecialist
 
Messaggi: 804
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi Paolomis » 28 aprile 2016, 22:54

ciao a tutti, rieccomi.... sto facendo dei test come avevo preventivato


ho seguito questa guida ufficiale per realizzare un tunnel l2tp con psk (per adesso mi va bene cosi)

https://help.ubnt.com/hc/en-us/articles ... VPN-server


tuttavia sto avendo delle difficolta di raggiungibilita di alcune risorse.

in pratica il tunnel sale ed è funzionante tanto che riesco a pingare sia il cpe del gestore che il mio edgerouter ma appena provo a pingare una risorsa dietro l'edgerouter ho timeout....

questa è la config di test:


testdicaz@ubnt:~$ show configuration
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 21 {
action accept
description IKE
destination {
port 500
}
log disable
protocol udp
}
rule 22 {
action accept
description l2tp
destination {
port 1701
}
log disable
protocol udp
}
rule 23 {
action accept
description nat-t
destination {
port 4500
}
log disable
protocol udp
}
rule 24 {
action accept
description esp
log disable
protocol 50
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.2/24
description Internet
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
speed auto
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description Local
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.10.250/24
description Local
switch-port {
interface eth1
interface eth2
interface eth3
interface eth4
}
}
}
service {
dns {
forwarding {
cache-size 150
listen-on LISTENONPORT
listen-on switch0
}
}
gui {
https-port 443
}
nat {
rule 5010 {
description "masquerade for WAN"
outbound-interface eth0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
gateway-address 192.168.1.1
host-name ubnt
login {
user xxxxx {
authentication {
encrypted-password ****************
}
level admin
}
}
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}
vpn {
ipsec {
ipsec-interfaces {
interface eth0
}
nat-networks {
allowed-network 10.0.0.0/8 {
}
allowed-network 172.16.0.0/12 {
}
allowed-network 192.168.0.0/16 {
}
}
nat-traversal enable
}
l2tp {
remote-access {
authentication {
local-users {
username xxxxs {
password ****************
}
}
mode local
}
client-ip-pool {
start 192.168.100.1
stop 192.168.100.70
}
ipsec-settings {
authentication {
mode pre-shared-secret
pre-shared-secret ****************
}
ike-lifetime 3600
}
mtu 1024
outside-address 192.168.1.2
outside-nexthop 192.168.1.1
}
}
}


La topologia è questa

CPE Fastweb 192.168.1.1 --------------- DMZ 192.168.1.2 Edgerouter eth0


Eth1 Edgerouter (192.168.10.250/24)---------------192.168.10.0/24 (lan di test) NON RAGGIUNGIBILE


grazie a chi mi darà una mano
Paolomis
Beginner
 
Messaggi: 26
Iscritto il: 7 luglio 2014, 14:43

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi redfive » 29 aprile 2016, 22:07

Ho provato una config. 'on the fly' simile alla tua (erano anni che non usavo L2TP/IPSEC ...), ma molto basic
Codice: Seleziona tutto
ubnt@ubnt:~$ show configuration
firewall {
    name wan_in {
        default-action drop
        enable-default-log
        rule 1 {
            action accept
            state {
                established enable
                related enable
            }
        }
    }
    name wan_local {
        default-action drop
        enable-default-log
        rule 1 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action accept
            destination {
                port 500
            }
            protocol udp
            state {
                new enable
            }
        }
        rule 3 {
            action accept
            destination {
                port 1701
            }
            protocol udp
            state {
                new enable
            }
        }
        rule 4 {
            action accept
            destination {
                port 4500
            }
            protocol udp
            state {
                new enable
            }
        }
        rule 5 {
            action accept
            protocol 50
        }
    }
}
interfaces {
    ethernet eth0 {
        address 192.168.10.1/24
    }
    ethernet eth1 {
    }
    ethernet eth2 {
        address 192.168.1.2/24
        firewall {
            in {
                name wan_in
            }
            local {
                name wan_local
            }
        }
    }
    ethernet eth3 {
    }
    ethernet eth4 {
        address 192.168.11.1/24
        poe {
            output pthru
        }
    }
    loopback lo {
    }
    switch switch0 {
    }
}
service {
    dhcp-server {
        shared-network-name eth0-pool {
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.1
                start 192.168.10.10 {
                    stop 192.168.10.20
                }
            }
        }
        shared-network-name eth4-pool {
            subnet 192.168.11.0/24 {
                default-router 192.168.11.1
                dns-server 192.168.11.1
                start 192.168.11.10 {
                    stop 192.168.11.20
                }
            }
        }
    }
    dns {
        forwarding {
            listen-on eth0
            listen-on eth4
        }
    }
    gui {
    }
    nat {
        rule 5000 {
            description NAT
            log disable
            outbound-interface eth2
            type masquerade
        }
    }
    ssh {
    }
}
system {
    gateway-address 192.168.1.1
    login {
        user ubnt {
            authentication {
                encrypted-password ****************
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
}
vpn {
    ipsec {
        ipsec-interfaces {
            interface eth2
        }
        nat-networks {
            allowed-network 10.0.0.0/8 {
            }
            allowed-network 172.16.0.0/12 {
            }
            allowed-network 192.168.0.0/16 {
            }
        }
        nat-traversal enable
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username jonatha {
                        password ****************
                    }
                }
                mode local
            }
            client-ip-pool {
                start 192.168.100.1
                stop 192.168.100.10
            }
            dns-servers {
                server-1 8.8.4.4
            }
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret ****************
                }
            }
            mtu 1492
            outside-address 192.168.1.2
        }
    }
}
eth0 lan1(192.168.10.1), eth2 wan (192.168.1.2), eth4 lan2 (192.168.11.1), una NS (192.168.11.10) collegata a eth4, da client win7 collegato in L2TP/IPSEC, la NS è raggiungibile...
ping e tracert

win.JPG


cosa passa da ER-X

erx.JPG


e cosa 'vede' la NS quando pingo via vpn

icmp.JPG

Hai provato a raggiungere qualcosa che sicuramente 'risponde' ??
Per finire, .... 2 note di ... servizio ...
1) Ma non si era parlato di OpenVpn ?? :)
2) Con quell'username, ... è normale che non funzioni, si offende .... :eheh:
redfive
NetworkSpecialist
 
Messaggi: 804
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi Paolomis » 30 aprile 2016, 10:21

hihih si per adesso sto giocando e anche lo username fa parte del gioco (uso sempre questo user quando testo è parte di un rito.tranne una volta che lo usai durante una demo con dei clienti causa abitudine...puhahha)....e prima di openvpn volevo provare con l2tp giusto per partire dalle cose semplici per poi andare a quelle piu sofisticate...


le risorse che pingo sono risorse sicuramente raggiungibili.....infatti da dentro si pingano senza problemi....l'anomalia è che se da dentro pingo la risorsa collegata via vpn la raggiungo...ma viceversa no..... qualche rule del firewall?
Paolomis
Beginner
 
Messaggi: 26
Iscritto il: 7 luglio 2014, 14:43

Re: VPN Remote Access su che prodotto orientarsi?

Messaggiodi redfive » 30 aprile 2016, 13:01

Se, nell ER-X, dai un
Codice: Seleziona tutto
sudo tcpdump -ni switch0 | grep -E '192.168.100.1.*192.168.10.x.*ICMP
(192.168.100.1 l'ip del client connesso in vpn, 192.168.10.x l'host da pingare) e pinghi, che vedi ?
Se abiliti i logs, nelle regole fw (set enable-default-log), vedi se droppano (tail -f /var/log/messages | grep quello che vuoi), ma non mi sembrano tanto diverse da quelle che ho fatto nella config. di test
redfive
NetworkSpecialist
 
Messaggi: 804
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Prossimo

Torna a Wired Network

Chi c’è in linea

Visitano il forum: Nessuno