Topic: consiglio su configurazione

[guest15649]

Ho installato sme in un ufficio dove ho fatto la seguente configurazione:

gateway -> zywall 2 plus -> sme (configurato come server e gateway) -> 4 clients winxp.

Sul dispositivo zywall 2 plus http://www.zyxel.it/web/product_family_detail.php?PC1indexflag=20040908175941&CategoryGroupNo=FF94F854-B6F1-47B7-BFB7-4660CF8649C8. Ho disattivato il firewall dato che quello su sme mi sembra meglio (voi che dite?).
Devo ancora configurare la vpn sullo zywall e spero che funzioni, più che altro ho timore che venga in qualche modo bloccata da sme (lo zywall usa ipsec).

Qualche suggerimento? Dovrei variare qualcosa o aprire qualche porta su sme? Grazie mille per gli eventuali consigli...

Silvio.

[Stefano]

Ho installato sme in un ufficio dove ho fatto la seguente configurazione:

gateway -> zywall 2 plus -> sme (configurato come server e gateway) -> 4 clients winxp.

quindi, perdona il francesismo, un bordello di ip e reti?

Sul dispositivo zywall 2 plus http://www.zyxel.it/web/product_family_detail.php?PC1indexflag=20040908175941&CategoryGroupNo=FF94F854-B6F1-47B7-BFB7-4660CF8649C8. Ho disattivato il firewall dato che quello su sme mi sembra meglio (voi che dite?).

dico che se togli il firewall sullo zywall e non ne usi le vpn onboard, puoi anche toglierlo perchè è un inutile strato nella tua rete.. lo zywall è un firewall..

hai quindi 2 scelte:
1) togli lo zywall e gestisci tutto da SME: hai il vantaggio che, fatto salvo problemi sul gateway (approposito, cos'è? un router?), le vpn funzionano out-of-the-box e sai cosa hai in ascolto
2) lasci lo zywall con il fw attivato e metti SME in modalità server-only.. in questo caso hai il vantaggio di avere una interfaccia web che ti permette di gestire in modo molto articolato le regole di firewalling e quelle di port-forward..

Devo ancora configurare la vpn sullo zywall e spero che funzioni, più che altro ho timore che venga in qualche modo bloccata da sme (lo zywall usa ipsec).

qui non ho afferrato cosa vuoi dire..

Qualche suggerimento? Dovrei variare qualcosa o aprire qualche porta su sme? Grazie mille per gli eventuali consigli...

Silvio.

vedi sopra..

comunque, io come regola separo sempre, ove possibile, firewall da server.. in questo modo i miei dati e gli account utenti NON sono "on the edge"..

inoltre separando i ruoli elimini il single point of failure che se il server va giù non si naviga..

ed infine, separando i ruoli puoi scegliere, per entrambe le funzioni, le macchine/dispositivi/sw ch fanno al caso tuo

Ciao
Stefano

[guest15649]

Bordello? a dir poco, ma sorvoliamo. 
Il problema sta nella ditta madre che gestisce questa "filiale" che seguo io come tecnico. Hanno la necessità di avere lo zywall per collegare in vpn due o più client contemporaneamente, e tutte le loro filiali ne hanno acquistato uno, praticamente non posso toglierlo, anche se ho provato a spiegare che, per semplicità, sarebbe stato meglio.

Un altro punto è che, i gestori della filiale stessa, quando sono a casa alle volte hanno bisogno di lavorare sui dati residenti su sme in vpn, e probabilmente ci si collegheranno anche altre persone... insomma, non avevo scampo, ho dovuto inserire tutto.

Ora però mi viene il dubbio che, in effetti, se lo configuravo come server-only facevo prima, ma avevo capito che i servizi accessibili dall'esterno (ftp, vpn, web) hanno bisogno per forza di due schede di rete e la configurazione server e gateway, probabilmente ho letto male.

Non so se, a questo punto, togliere una scheda di rete allo sme e metterlo come server-only e lascio lo zywall che fa da firewall. Loro hanno bisogno di file server, ftp, vpn. Mi confermi si possa fare?

[Stefano]

Loro hanno bisogno di file server, ftp, vpn. Mi confermi si possa fare?

direi proprio di si, visto che lo faccio con tutte le macchine da me gestite

ciao
Stefano

[guest15649]

Bene, allora domani procedo, in effetti rimane tutto molto più semplice. Grazie mille per i tuoi preziosi consigli. Ciao.

Silvio.

[guest15649]

Ancora un dubbio...
Mi serve ancora un aiutino per favore. Ho infine configurato nel modo seguente:

sme e i 4 clients su rete 10.0.0.XXX (IP sme server 10.0.0.100) subnet 255.0.0.0
Zywall lan IP 10.0.0.254 -> wan IP 192.168.1.100 -> GW 192.168.1.1 subnet 255.255.255.0

Il provider ha aperto i servizi ftp, ssh e vpn sull'ip 192.168.1.70

Ora non so bene come fare per dirottare i servizi sulla rete 10.0.0.XX. Devo impostare una regola di routing fissa sullo zywall? O devo agire sulla configurazione di sme? o c'è un altro metodo?
Inoltre, suppongo che affinchè i servizi funzionino dovrò aprire le stesse porte anche sullo zywall, giusto?

Grazie mille ancora...
Silvio.

[Stefano]

Ancora un dubbio...
Mi serve ancora un aiutino per favore. Ho infine configurato nel modo seguente:

sme e i 4 clients su rete 10.0.0.XXX (IP sme server 10.0.0.100) subnet 255.0.0.0
Zywall lan IP 10.0.0.254 -> wan IP 192.168.1.100 -> GW 192.168.1.1 subnet 255.255.255.0

Il provider ha aperto i servizi ftp, ssh e vpn sull'ip 192.168.1.70

Ora non so bene come fare per dirottare i servizi sulla rete 10.0.0.XX. Devo impostare una regola di routing fissa sullo zywall? O devo agire sulla configurazione di sme? o c'è un altro metodo?
Inoltre, suppongo che affinchè i servizi funzionino dovrò aprire le stesse porte anche sullo zywall, giusto?

Grazie mille ancora...
Silvio.

non ho capito.. il .1.70 chi è?

dici che il provider  "ha aperto i servizi ftp, ssh e vpn" su quell'indirizzo.. puoi chiarire questo punto?

in linea di massima, se è possibile, il router deve comportarsi "quasi" da bridge, passando cioè tutto il traffico in ingresso al firewall.. sarà quest'ultimo ad essere configurato per bloccare/permettere il traffico a seconda delle necessità.

se così fosse, tutti i servizi in ingresso "sbattono" sullo zyxel: è lui che risponde in assenza di opportuna regola di port-forward verso SME o altro server/servizio.

ciao
Stefano

[guest15649]

L'operatore (Vodafone) non può fare diversamente, li ho sentiti al telefono più volte. Possono soltanto aprire le porte sul loro dispositivo 192.168.1.1 e ridirezionare su un ip dello stesso livello.
Quindi, o collego direttamente lo sme al dispositivo vodafone (un Cisco serie 800) e lo configuro con indirizzo lan 192.168.1.70, oppure sullo zywall faccio un port forward su 10.0.0.100 per gli stessi servizi ftp, ssh e vpn. Oppure?

[Stefano]

L'operatore (Vodafone) non può fare diversamente, li ho sentiti al telefono più volte. Possono soltanto aprire le porte sul loro dispositivo 192.168.1.1 e ridirezionare su un ip dello stesso livello.
Quindi, o collego direttamente lo sme al dispositivo vodafone (un Cisco serie 800) e lo configuro con indirizzo lan 192.168.1.70, oppure sullo zywall faccio un port forward su 10.0.0.100 per gli stessi servizi ftp, ssh e vpn. Oppure?

oppure dai alla wan dello zywall il .1.70? e sullo zywall ti crei le regole di port-forward?

[OT]
premettendo che non è una critica nei tuoi confronti, ti chiedo perchè Vodafone.. necessità o scelta PRETTAMENTE economica? perchè quando si parla di connettività aziendale risparmiare 10/15 € al mese ma avere dei vincoli su come posso/non posso usare la rete fa un po' girare le balle
[/OT]

Ciao
Stefano

[guest15649]

L'indirizzo ...1.70 l'ho detto io alla vodafone (il primo che mi è venuto in mente neutro)  per disperazione poichè prima mi avevano detto che potevo aprire i servizi direttamente su ...0.100 (sme) e tutto finiva li, poi mi hanno richiamato dicendomi che non potevano, non ti dico che razza di... sorvoliamo, non la consiglerò mai a nessuno.
[OT]
Purtroppo la scelta di vodafone è del mio cliente, io sono soltanto il loro consulente, che tiene in ordine i clients e che gli ha consigliato di mettere il server. Se loro avessero fatto come consiglio di solito (acquistare soltanto un contratto di connettività, e comprare gli apparati a parte) a quest'ora sarebbe tutto sistemato da un pezzo.
[OT]

[Stefano]

L'indirizzo ...1.70 l'ho detto io alla vodafone (il primo che mi è venuto in mente neutro)  per disperazione poichè prima mi avevano detto che potevo aprire i servizi direttamente su ...0.100 (sme) e tutto finiva li, poi mi hanno richiamato dicendomi che non potevano, non ti dico che razza di... sorvoliamo, non la consiglerò mai a nessuno.

allora metti lo zywall (wan) sul .1.70 e via andare..

[OT]
Purtroppo la scelta di vodafone è del mio cliente, io sono soltanto il loro consulente, che tiene in ordine i clients e che gli ha consigliato di mettere il server. Se loro avessero fatto come consiglio di solito (acquistare soltanto un contratto di connettività, e comprare gli apparati a parte) a quest'ora sarebbe tutto sistemato da un pezzo.
[OT]

come ti capisco.. in questi casi metti pure in conto TUTTI i minuti persi con la dicitura "Rottura di balle per problema PEBKAC"..

Ciao
Stefano

[Fumetto]

Che brutta cosa Vodafone (e lo dice uno che lavora presso un centro Vodafone)... 

[guest15649]

E' finita bene, ora il caro sme è attivo e funzionante... Ti ringrazio infinitamente Stefano!

Silvio.