Problema Con 3com Firewall Vpn

[dave_adm]

Buongiorno a tutti!

spero di non sbagliare postare ma non ho trovato altra sezione che sembra adatta, se ho sbagliato mi scuso in anticipo.

Comunque sono qui perchè mi ritrovo un guaio tecnico che non riesco assolutamente a risolvere, perchè probabilmente non sono in grado di trovare il problema oppure ho sbagliato qualcosa nella topologia ponderata. Per il mio ufficio devo realizzare una VPN di tipo IPSEC/L2TP utilizzando come GATEWAY un Router Alice con IP STATICO e come Firewall VPN un 3com 3CREVF100-73, teoricamente seguendo le impostazioni del manuale dovrei riuscire a collegare alla VPN qualsiasi client e da le poche informazioni che sono riusciuto a ricavare su Internet dovrei riuscire tramite Windows XP e la sua connessione Client a connettermi alla rete senza troppe configurazioni.

Per capirci meglio la struttura di rete è coposta così:

La LAN è sulla base degli indirizzi dell'IP di Accesso del Firewall, i PC vanno su Internet avendo configurato correttamente il GATEWAY e i DNS di Alice classici.

L'errore principale che mi viene dal LOG del Firewall è il seguente:

"Nov 8 15:04:00[3Com_Firewall][pluto]packet from 88.x.x.x:500 initial Main Mode message received on 192.168.0.225:500 but no connection has been authorized with policy=PSK"

sul client winXp invece viene stampato l'errore:

"Connesione a 95.x.x.x in corso....

ERRORE 792: Tentativo di connessione L2TP non riucito. Tempo esaurito per la negoziazione di protezione"

da quello che ho capito dovrebbe essere un problema della chiave condivisa sulle impostazioni della VPN, vi allego anche la schermata di configurazione VPN del Firewall

http://img35.imageshack.us/img35/184/scher...rewallipsec.jpg

http://img844.imageshack.us/img844/8827/sc...irewalll2tp.jpg

http://img3.imageshack.us/img3/4333/schermatapolicyacl.jpg

Però a livello di chiave ho impostato tutto sia su client che qui sul firewall come da immagini, cosa sto omettendo e sicuramente sbagliando?

http://img835.imageshack.us/img835/7799/sc...ataclientxp.jpg

http://img507.imageshack.us/img507/5311/sc...taclientxp2.jpg

spero tantissimo che qualcuno sia in grado di darmi una mano sono veramente nella melma e non so come fare a uscirne.

Se avete necessità di altre informazioni sono estremamente lieto di darvele è sarò molto lieto di creare una guida in merito alla mia esperienza, visto che di questo firewall che la documentazione è estremamente scarsa.

Grazie Mille!!!!

[gigi130358]

Ammesso che dopo un mese serva a qualcosa prova a dare un occhio qui:

http://freespace.virgin.net/christiaan.the...de%20v1.02.html

Sotto la voce "Common Error 1" trovi una spegazione che sembra imputare il problema al fatto che la richiesta del client arriva da un IP che non è stato specificato tra quelli previsti nella policy del 3Com.

Non escluderei nemmeno la seconda soluzione "Alternate Solution to Common Error 1 – submitted by Charles Trevor" che fa vedere al 3com un IP che è quello del lato LAN del router Alice.

Ciao

[dave_adm]

Ciao! Grazie Mille della tua risposta e aiuto.

Provverò a vedere di consentire l'indirizzo ip (impostato a statico nella macchina client richiedente). Sicuramente avrò sbagliato qualcosa nelle impostazioni dei permessi anche se ho impostato ad ANY devo aver tralasciato sicuramente qualcosa.

Ti farò sapere come è andata.

comunque grazie ancora della tua risposta.

Bye

[gigi130358]

Di nulla.

Mi è anche venuto il dubbio che il dispositivo 3Com sia nato per connettersi normalmente ad un proprio gemello e che i problemi nascano soprattutto per possibili incompatibilità con il client VPN standard di Windows.

(http://www.tomshardware.co.uk/forum/17675-17-l2tp-ipsec-3com-superstack-firewall)

Oltre ad approfondire il lato server della connessione VPN, considera anche possibili varianti lato client.

Ciao

[dave_adm]

Niente da Fare l'errore è sempre uguale anche impostando le ACL per gli IP sia dalla parte del client che dalla parte della rete che dovrebbe fare il Tunnel.

Ho pensato anch'io che questo firewall potesse essere uno strumento di site-to-site e non host-to-site, ma dalla guida e dalla piccolo datasheet che hai tempi avevo trovato sul sito della 3com per verificare il tutto, sembra che possa fare quello che serva a me, in che modo però non l'ho ancora capito. :-)

http://www.google.it/url?sa=t&rct=j&am...3-w&cad=rja

ho provato anche a cambiare alcune impostazioni sul lato client ma l'errore stampato è sempre lo stesso

"but no connection has been authorized with policy=PSK"

mi sono guardato anche qualche software lato client stile OpenVPN però mi sembra che manchi qualcosa nella schermata IpSec del Firewall a livello di crittografia e sicurezza sono presenti molti più dati rispetto agli altri però dall'errore stampato e come anche giustamente mi hai detto dovrebbe essere un problema di permessi.

ti ringrazio ancora per il tuo tempo

[gigi130358]

Se si tratta del modello giusto, magari questo manuale ti può essere più utile

manuale 3com

Gianluigi

[dave_adm]

Grazie Mille purtroppo ho ricavato tutta la documentazione necessaria ma il problema persiste. Ho cercato molta documentazione al riguardo ma tutte sembrano solo spiegare le verie funzioni, senza esempio concreti o topologie che non siano generiche. Così da poter capire dove sto sbagliando.

Chiamando e disturbando una persona esperta di VPN mi ha detto che probabilmente potrebbe essere un problema legato agli indirizzi pubblici. Da quello che ho potuto capire dal router alice oltre all'indirizzo publico di riferimento esterno (verso internet) dovrebbe essercene un altro che arrivi dall'interno in modo che la WAN del Router possa accentarla.

Molto gentilmente mi ha detto che appena potrà verrà a vedere cosa è potuto capitare così da darmi una mano, però preferirei (anche per evitare di disturbarlo) riuscirci da solo.

Grazie ancora dell'aiuto

Saluti