Aiuto Creazione VPN L2TP/IPsec

[ibrahimovich87]

Buonasera a tutti,

ho bisogno di una grande mano per configurare un accesso VPN L2TP per accedere da diversi client dall'esterno della mia rete,

Ho questi 2 apparati:

- Draytek Vigor2760 in modalità Bridge
- TP Link ER6020 in cascata che utilizzo come router, firewall e così via...

sono riuscito a configurare e tirare su 2 VPN IPSEC che ho sempre attive per scambio dati tra le mie sedi (con IP statico)

ma non riesco in alcun modo a configurare una VPN L2TP, ho seguito passo passo la guida della TPLINK ma niente.... L'errore che mi da sul PC dove tento di collegarmi alla VPN è il seguente "Tentativo di connessione L2TP non riuscito. Il livello di sicurezza ha rilevato un errore di elaborazione durante le negoziazioni iniziali con il computer remoto"

Grazie mille a tutti ed  

[Andrea Annoni]

......io NON farei mai gestire le VPN a un TP-Link!

Il Draytek (notevolmente superiore) non fa da server VPN?

 

Il primo problema che mi viene in mente è che essendo dietro al Vigor, anche se questo è in modalità bridge, si vede arrivare i pacchetti indirizzati al tuo pubblico da un IP privato della LAN: quello del vigor.

Il TP-Link non ha un minimo di log, un sylog server, o qualche strumento per fare traffic-inspection?

 

Altra cosa, la VPN la fai da PC o da smartphone?

 

 

Altrimenti la mia soluzione DRASTICA è di buttare via il TP-Link e prendere qualcosa di più serio...... e per serio non intendo che devi spendere centinaia di euro. Basta un banale RB931 di Mikrotik  da 13€ e gestisci TUTTE le VPN entranti e uscenti come vuoi. E non solo: essendo un vero e proprio router con regole di firewalling ci scrivi tutte le regole che vuoi.

Ad esempio puoi bloccare le rotte di una VPN verso certe subnet, verso certi host ecc ecc.

Inoltre puoi anche farti mandare della mail in caso di tentativi di accesso illegali.

 

[ibrahimovich87]

Ciao Andrea, ti ringrazio per la risposta, cercherò di darti tutte le info:

 

Avevo la necessità di gestire più di 2 vpn (ne ho due fisse in IPSEC ed il Draytek che ho ne ammette solo 2 ....avevo la necessità inoltre di avere un apparato da poter configurare poi dietro un modem "telecom" per quando mi arriverà la fibra) ed altre con accesso tramite Client (PC, IPAD e così via....) mi hanno consigliato questo modello.....che ho preso da poco...quindi posso ancora restituirlo teoricamente...

Gli unici log presenti fanno schifo.....non mi da altro.... l'unica cosa che posso fare questo apparato è un ping od un tracert...ma non credo mi servano .....quindi non so che fare....avevo bisogno di un apparato non troppo costoso non molto difficile da configurare che mi facesse da Firewall e che mi gestisca almeno una decina di connessioni in VPN di cui almeno 2 IPsec

[Andrea Annoni]

Purtroppo quando dico che TP-link mi mette irritazione solo a sentirlo mi riferisco proprio a questo genere di uso. Il logging e l'analisi del traffico sono due elementi FONDAMENTALI per il troubleshooting di una rete.

 

 

Apprezzo molto che us le VPN per collegarti .........purtroppo in pochi capiscono l'effettiva "comodità" e sicurezza.

 

Io ti consiglierei di cambiarlo se ti è possibile. Anche perchè non è escluso che poi se devi gestire connessioni 100Mb/100Mb con anche le VPN ci sia un evidente degrado all'infrastruttura (non ricordo il modello esatto ma ho un cliente che non viaggia oltre i 60Mb.....a fronte di una 100Mb sula WAN).

Io ormai sono malato di Mikrotik e tutto quello che chiedi lo puoi fare davvero con pochi euro.

Non sto nemmeno dicendo che Mikrotik non possa avere lo stesso problema del TP-link, se resta dietro ad un altro router, ma di sicuro ha dei log completi  che danno idee chiare su cosa succede. E cosa ancora più interessante che si possono "rimarchiare" i pacchetti in modo da ingannare il firewall (se il problema fosse quello ipotizzato).

Alternativa più commerciale è usare firewall tipo Peplink, Watchguard, ....fino a d arrivare agli ASA della Cisco.

Oppure ancora un sistema PfSense: lo puoi far girare su un PC, su macchina virtuale, su board Alix e su tutto ciò che ha un processore x86 based.