Ciao a tutti.

Ho il seguente problema:
Reti aziendali di vari clienti con firewall cisco.
Assistenza remota tramite VPN client-to-site L2TP con Windows XP.

Il problema delle VPN L2TP con windows XP consiste nel fatto che quando si è connessi windows reindirizza tutto il traffico sulla rete remota (quella dell'azienda a cui si è connessi in VPN), quindi non è più possibile accedere a internet o ad altre reti.
Per ovviare a questo è necessario disattivare l'opzione "Usa gateway predefinito sulla rete remota" nelle impostazioni avanzate TCP/IP della connessione VPN, ed inserire a mano una route statica nel client che reindirizzi il traffico destinato alla rete aziendale sulla connessione VPN.

Per adesso faccio tutto a mano (doppio cllick su connessione VPN, dopo l'accesso doppio click su file batch che crea la route statica ad hoc) ed ovviamente funziona alla perfezione, l'inconveniente consiste nel fatto che l'indirizzo IP della connessione VPN viene assegnato dinamicamente dal firewall remoto e purtroppo NON è sempre lo stesso, quindi quando l'IP cambia il batch non funziona per cui devo controllare quale IP mi è stato assegnato e digitare il comando per la route statica a mano.

Per cui la mia necessità primaria è quella di crearmi uno script (batch o vbscript) che lanci la connessione VPN, rilevi l'IP assegnatomi e aggiunga la relativa route statica.

Inoltre mi sarebbe anche utile uno script che crei la connessione VPN, nel caso in cui mi debba connettere utilizzando il PC di altri, ma questa per ora non è urgente.

Ciao e grazie.

P.S.: So già che con il Cisco Client VPN non avrei questo problema, lo sto già usando, ma vorrei eliminarlo per altri motivi.

Ma non puoi crearti sul firewall una reservation per assegnare sempre lo stesso IP?

Che io sappia no. Non saprei in base a cosa discriminare il chiamante per capire se sono io o no, il firewall pesca da un range di ip disponibili e ne assegna uno al chiamante. l'unico modo che mi viene in mente sarebbe quello di configurare un solo ip da assegnare a chi si collega in VPN, ma nel mio caso non è una strada praticabile, in quanto si potrebbe collegare qualche mio collega e si beccherebbe lui il solo ip a disposizione.

ciao e grazie.

Potresti provare a vedere se riesci a reperire l'ip dall'output del comando
netsh interface ip show address NomeInterfaccia

Niente da fare, mi da il messaggio "Interfaccia specificata non valida".

In effetti sembra che non consideri le VPN come interfacce vere e proprie, infatti il comando:
netsh interface show inteface
mi elenca tutte le infacce "fisiche", ma non le VPN.

e tramite IPConfig ti viene ritornato l'ip?

Si con ipconfig una volta attivata la vpn vedo l'ip assegnatomi.

In netsh hai provato a racchiudere tra virgolette il nome dell'intefarcaccia?

Puoi sempre disabilitare il server DHCP all'interno dei Pix e, abilitando il relay, fare in modo che questi forwardino le richieste ad un altro DHCP server che, contrariariamente ai PIX, supportino le reservation

http://www.cisco.com/en/US/docs/sec...#wp1031612

Scritto Da ermannog on 20/07/2009 23.48
In netsh hai provato a racchiudere tra virgolette il nome dell'intefarcaccia?

Scusa per il ritardo.
Si ho provato anche ad inserire il nome tra virgolette. Si comporta nello stesso modo.

Scritto Da PacMan on 22/07/2009 13.15
Puoi sempre disabilitare il server DHCP all'interno dei Pix e, abilitando il relay, fare in modo che questi forwardino le richieste ad un altro DHCP server che, contrariariamente ai PIX, supportino le reservation

http://www.cisco.com/en/US/docs/sec...#wp1031612

Potrebbe essere un'idea, almeno per i clienti che hanno un server DHCP.

Nel link che mi hai inviato ho trovato la seguente informazione che mi preoccupa un pò:

Clients must be directly connected to the PIX Firewall and cannot send requests through another relay agent or a router

Ovviamente il client è sempre dietro un router. Cosa ne pensi.

Intanto io faccio qualche prova.

Ovviamente mi rimane il problema per i clienti che non hanno server DHCP al loro interno, quindi vorrei perseguire la strada di creare uno script che rilevi l'ip assegnatomi e crei una route ad hoc, questo mi risolverebbe il problema per tutti.

grazie.

Clients must be directly connected to the PIX Firewall and cannot send requests through another relay agent or a router

Un router che funzioni da bridge, che sia cioè configurato in modo da assegnare all'interfaccia esterna del firewall un indirizzo IP pubblico, non è da intendersi come "relay agent" e rispetta quindi la condizione da te giustamente indicata

Scritto Da PacMan on 28/07/2009 09.19

Un router che funzioni da bridge, che sia cioè configurato in modo da assegnare all'interfaccia esterna del firewall un indirizzo IP pubblico, non è da intendersi come "relay agent" e rispetta quindi la condizione da te giustamente indicata

Grazie per la precisazione, faccio qualche prova e poi ti faccio sapere.

Ovviamente mi rimane il problema per i clienti che non hanno server DHCP al loro interno

Per la gestione delle VPN sui Pix è una best-practice quella di riservare una classe d'indirizzamento (differente da quella utilizzata per l'inside) per le connessioni entranti; basta aggiungere un qualsiasi server DHCP (ovviamente ove questo non sia già presente) senza comunque farlo dialogare con la LAN interna ed il gioco è fatto

Sto provando ad utilizzare il dhcprelay, ma non riesco a trovare un modo per farlo lavorare con la vpn l2tp.

l'unico comando vpdn relativo all'indirizzamento ip è quello per impostare un pool di indirizzi configurato nel pix tramite "ip local pool".

Ho visto come funziona il dhcprelay ed ho provato a configurarlo, ma adesso come faccio a dire al pix che deve usare il server dhcp interno per assegnare gli ip ai client vpn.

Ciao e grazie

Scritto Da PacMan on 03/08/2009 09.09
http://www.cisco.com/en/US/docs/sec...#wp1057398

Grazie

Non c'è di che