Re: [ml] VPN e subnet

On Thu, 2007-07-05 at 09:31 +0200, Domenico Viggiani wrote:
> Ciao,
> uno dei problemi principali che incontro nel creare VPN IPSEC (ormai si Ã
> capito: sono la mia passione!) Ã nella definizione delle subnet che ci
> stanno dietro.
> Non so se à un problema tipico di Checkpoint o una delle "debolezze" di un
> protocollo cosà generico come IPSEC ma c'à sembre qualche problema a mettere
> d'accordo gateway con differenti implementazioni: se uno propone
> 192.168.0.0/24 e 192.168.1.0/24, l'altro si aspetta 192.168.1.0/23 o
> viceversa e problemi simili.
> Peggio ancora se ci sono reti diverse "miste".
> 
> Volevo sapere qual à la vs. esperienza a riguardo.

Ciao Domenico,
Checkpoint by default fa 'supernetting' cioe' genera il proxy-id (che e'
la rete protetta dalla VPN) raggruppando reti contigue e annunciando una
sola rete con una subnet mask piu' ampia.
Come dici tu 192.168.0.0/24 e 192.168.1.0/24 verranno annunciate come
proxy-id 192.168.1.0/23, che e' perfetto se vai VPN tra gateway
Checkpoint, ma crea problemi di interoperabilita'.
Con Checkpoint non puoi configurare a mano i proxy-id (CP tende a
nascondere e semplificare un po' troppo i parametri IPSEC imho...)
quindi bisogna lavorare sull'altro end-point per aspettarsi quello che
viene proposto.

Il supernetting si puo' disattivare editando uno dei file .def, ma non
ho piu' accesso alla loro KB per controllare quale :-P

Altre feature come il controllo della VPN (VPN monitor mi pare si
chiami) possono creare problemi perche' usano l'IP pubblico del gateway,
che di norma non e' annunciato nel proxy-id, e quindi crea un pacchetto
che viene scartato dal ricevente.

Hope this helps
-- 
Daniele Besana
http://besa.itvc.net