• How-to VPN με Zyxel router-to-router & επισης software client

    Ενας οδηγος για αρχαριους για δημιουργια VPN βασιζομενο σε routers Zyxel αλλα και επισης software client.
    Ιδανικο επισης και για χρηστες που απλα θελουν να "ενωσουν" τα δικτυα τους χωρις "ανοιχτες" πορτες!!

    Ας υποθεσουμε οτι εχουμε μια εταιρεια με εδρα την Αθηνα και δυο υποκαταστηματα στην επαρχια τα οποια πρεπει ολα να συνδεθουν μεταξυ τους για τις ενδο-συναλλαγες τους.

    Βασικη προυποθεση ειναι τα 3 δικτυα να εχουν διαφορετικο ip range οποτε για το γραφειο στην Αθηνα θα επιλεξουμε το δικτυο μας να εχει 192.168.10.χχχ και τα αλλα δυο 192.168.1.χχχ & 192.168.2.χχχ

    Χρειαζομαστε ρουτερ Zyxel μοντελο 661 ή 662. Επειδη το 662 προσφερει 20 συνδεσεις θα το προτιμησουμε για το κεντρικο γραφειο ωστε να ειμαιστε ετοιμοι και για τυχον νεα υποκαταστηματα και στο μελλον, και τα υποκαταστηματα θα αρκεστουν στο 661 (2 συνδεσεις)

    Επισης χρειαζομαστε ειτε static ip απο τον provider ή dyndns. Ας παρουμε δεδομενο οτι εχουμε dynamic IP και dyndns account
    Στο μενου του ρουτερ ρυθμιζουμε το dyndns



    Παμε στο μενου-->vpn του ρουτερ να δημιουργησουμε μια νεα συνδεση. Υπαρχει επιλογη να περιλαβουμε ολο το δικτυο μας στο vpn ή μονο ενα single ip address ή ενα range. Εμεις θελουμε ολο το δικτυο οποτε επιλεγουμε subnet και συμπληρωνουμε οπως στην φωτογραφια VPN1.jpg
    Στην φωτογραφια VPN_ADVANCED.jpg Μπορουμε να αλλαξουμε-αυξησουμε τις ρυθμισεις ασφαλειας αν ανησυχουμε για την ασφαλεια μας. Εννοειται βεβαια οτι τις αντιστοιχες ρυθμισεις θα βαλουμε και στο αλλο ρουτερ για να μπορεσει να συνδεθει.





    Οποτε λοιπον ειμαστε ετοιμοι στο κεντρικο μας γραφειο στην Αθηνα να δεχτουμε συνδεσεις. Τα zyxel στο firewall εχουν εργοστασιακα ενεργη την θυρα IKE UDP 500 (wan-to-wan router) οποτε απλα το τσεκαρουμε οτι ειναι εκει και δεν χρειαζομαστε τιποτε αλλο.

    Παμε στο πρωτο υποκαταστημα τωρα στην επαρχια και ρυθμιζουμε το Zyxel 661 ως εχει στην φωτογραφια VPN_REMOTE.jpg
    Τωρα πλεον τα δικτυα μας ειναι αμεσα ετοιμα και εχουν ηδη συνδεθει.



    Παμε και στο δευτερο υποκαταστημα τωρα. Για λογους εκπαιδευσης ας υποθεσουμε οτι το δευτερο υποκαταστημα ειναι μικρο και εχει μονο ενα PC και εχει ρουτερ αυτο που δινει δωρεαν ο παροχος. Κανενα προβλημα, για να συνδεσουμε ενα μονο PC μπορουμε να αγορασουμε φτηνα το thegreenbow vpn client (ηλεκτρονικο κατεβασμα, δηλωστε χωρα Αλβανια να μην πληρωσετε ΦΠΑ!!) ή να "αναζητησουμε" στο internet το Zywall VPN Client (παλιο αλλα κανει μια χαρα την δουλεια του).
    Στις φωτο SOFT1-2-3 βλεπουμε τις σωστες ρυθμισεις για την συνδεση.







    Κανοντας ολα τα παραπανω τα δυο υποκαταστηματα εχουνε πληρη προσβαση στο δικτυο της εταιρειας στην Αθηνα, και η εταιρεια στην Αθηνα εχει πληρη προσβαση στα δυο υποκαταστηματα, ολα αυτα ταυτοχρονα και αμεσα και προπαντων με ασφαλεια.

    Ευχαριστω για τον χρονο σας.

    Y.Γ Mods, βοηθηστε λιγο με τις φωτογραφιες, πως γινεται να "φαινονται" μες στο αρθρο μικρες και κανοντας κλικ να εχουν πληρη μεγεθος? Edit: [ fixed ]
    Αυτό το άρθρο δημοσιεύθηκε πρώτα στο forum με θέμα: How-to VPN με Zyxel router-to-router & επισης software client Δημοσιεύθηκε από Fotis_Greece Δείτε την αρχική δημοσίευση
    Σχόλια 49 Σχόλια
    1. Το avatar του μέλους mephisto
      mephisto -
      ωραιο το αρθρο και χρησιμο,αλλα θα συνεχισω να υποστηριζω οτι συμφερει ποιο πολυ το mpls αφου εχει πολυ λιγα χρηματα πλεον κ εχει κ ολη την ευθηνη ο οτε...
    1. Το avatar του μέλους Fotis_Greece
      Fotis_Greece -
      Τι κοστος εχει το mpls?
    1. Το avatar του μέλους emeliss
      emeliss -
      Μπράβο στον φίλο για το άρθρο!

      Παράθεση Αρχικό μήνυμα από Fotis_Greece Εμφάνιση μηνυμάτων
      Τι κοστος εχει το mpls?
      http://www.oteshop.gr/pdf/ipvpn.pdf
    1. Το avatar του μέλους Fotis_Greece
      Fotis_Greece -
      Με πονεσε η τσεπη με το που ανοιξα το pdf αρχειο!!!
      Με δυο Zyxel 661 (συνολο 200 ευρω) κανεις την δουλεια σου για παντα χωρις αλλα εξοδα, καμια σχεση
    1. Το avatar του μέλους mephisto
      mephisto -
      Οι τιμες ειναι ακυρες και δεν ειναι για το MPLS πακετο...Η 1024 εχει 18 ευρω ανα σημειο...
    1. Το avatar του μέλους ikaros
      ikaros -
      Πολύ κατατοπιστικό το άρθρο, μπράβο.
    1. Το avatar του μέλους Leon
      Leon -
      Πολύ καλό και κατατοπιστικό το άρθρο σου Fotis.

      Αυτό που θα ήθελα να ρωτήσω είναι αν σε περίπτωση που ενεργοποιήσουμε το VPN Router to Router για 1 μόνο PC, οι υπόλοιποι που ανήκουν στο ίδιο class δiκτυου θα μπορούν να συνεχίσουν να σερφάρουν στο Internet ανενόχλητοι;

      Ευχαριστώ
    1. Το avatar του μέλους Fotis_Greece
      Fotis_Greece -
      Η προσβαση στο internet δεν επηρεαζεται απο το VPN, απλα τα αλλα PC δεν θα εχουν προσβαση στο αλλο δικτυο
    1. Το avatar του μέλους tgiannak
      tgiannak -
      Εγω να κάνω μια ερωτησούλα γιατι μπερδεύτηκα; εαν πχ εχω 3 καταστηματα με 661 και 1 κεντρικο με 662 θα μπορω απο καποιο υποκατάστημα να "βλέπω" ταυτόχρονα ολα τα μαγαζια;;;
    1. Το avatar του μέλους Fotis_Greece
      Fotis_Greece -
      (Μαλλον) οχι, γιατι αν δεις την φωτο vpn remote θα "βλεπεις" μονο την 192,168.10.0 του κεντρικου.
      Θα κανω ενα τσεκαρισμα μια μερα να σου πω στα σιγουρα
    1. Το avatar του μέλους tgiannak
      tgiannak -
      Παράθεση Αρχικό μήνυμα από Fotis_Greece Εμφάνιση μηνυμάτων
      (Μαλλον) οχι, γιατι αν δεις την φωτο vpn remote θα "βλεπεις" μονο την 192,168.10.0 του κεντρικου.
      Θα κανω ενα τσεκαρισμα μια μερα να σου πω στα σιγουρα

      σε ευχαριστω πολύ..πάντως όπως και να χει ετοιμάζω μια εγκατάσταση και θα το δοκιμάσω κι εγώ οπότε θα ποστάρω
    1. Το avatar του μέλους sakisvv
      sakisvv -
      Σας ευχαριστώ πολύ , θα το δοκιμάσω στο δικόμου δίκτυο
    1. Το avatar του μέλους Kapnos
      Kapnos -
      Δοκίμασα την λύση με το zyxel 661 στη δουλειά και το thegreenbow vpn client σπίτι αλλά το greenbow κολλάει στο PHASE1, δεν προχωράει παρακάτω.
    1. Το avatar του μέλους Fotis_Greece
      Fotis_Greece -
      Phase 1? Μηπως κανενα προβλημα με dyndns? Κανε κανα restart το Greenbow.
      Κανονικα δουλευει καλα, το εχω δουλεψει παρα πολυ και σε 24ωρη βαση. Αν δεις οτι δεν γινεται τιποτα παρε screenshots των ρυθμισεων (αλλαξε προσωρινα τους κωδικους σου) στειλτα μου με ενα pm να σε βοηθησω.
    1. Το avatar του μέλους Kapnos
      Kapnos -
      Δεν έχω dyndns, με Static IP είναι.
    1. Το avatar του μέλους anon
      anon -
      στα zyxel υπάρχει το εξής πρόβλημα. Πχ στο παράδειγμα του howto υπάρχει το κεντρικό και δυο remote υποδίκτυα. Με το howto αυτό, το κάθε remote μπορεί να βλέπει μόνο το κεντρικό, όχι όμως το άλλο remote (ή αλλα nets/subnets που ειναι στο κεντρικό). Για να μπορεί να γίνει αυτό, θα πρέπει να δρομολογείται όλη η κίνηση στον απέναντι ρούτερ, δηλαδή θα πρεπει να χρησιμοποιείς ένα subnet mask 0.0.0.0
      εαν χρησιμοποιήσεις ένα subnet mask της μορφής 255.255.0.0 ή 255.0.0.0 λογικα σκεπτόμενος ότι ο ρούτερ πρώτα θα πάει απο το ειδικό (δηλαδή του τοπικού του δικτύου) και μετά στο πιο γενικό (όπως είναι το σωστο), θα βρεθεί προ εκπλήξεως που θα χάσει την τοπική ethernet! Kαι αυτό γιατί κανανε βλακεία, και σε ένα τέτοιο setup δρομολογεί όλη την κίνηση και του τοπικού δικτύου (απο τον ρούτερ) μέσω του VPN channel.
      Υπόψιν ότι αυτή η συμπεριφορά δεν διορθώνεται ούτε με static routes.

      Aρα έχεις τις εξείς επιλογές. Είτε μόνο με το κεντρικό δίκτυο που παίζει ο εκεί ρουτερ και να έχεις και ιντερνετ στο remote, ή περνάς όλη την κίνηση στο κεντρικό (μπορεί να χρειασθείς και κάποια static routes). Eαν έχεις περισσότερα απο ένα VPN channels, τότε μπορείς να φτιάξεις πχ 2 VPN channels για να καλύψεις αυτή την αδυναμία, το ένα με το δίκτυο του κεντρικού, και το άλλο με το άλλο υποδίκτυο, είτε μεταξύ τους, είτε μέσω του κεντρικού. Ομως μια τέτοια λύση δεν είναι elegant, και φυσικά δεν κλιμακώνει καλά, δηλαδή όσο αυξάνεις τα remotes ή τα subnets στο κεντρικό τόσο περισσότερα VPN channels πρέπει να φτιάχνεις, και τα μοντέλα Zyxel έχουν συγκεκριμενο αριθμό διαθέσιμων VPN channels ανάλογα με το μοντέλο.

      Aπό έναν παθόντα.
    1. Το avatar του μέλους Kapnos
      Kapnos -
      Ευχαριστώ για τις πληροφορίες αλλα εγώ έχω ένα εταιρικό δίκτυο και θέλω σε αυτό να συνδεθεί ένας υπολογιστής με το greembow client.
    1. Το avatar του μέλους Fotis_Greece
      Fotis_Greece -
      Στον υπολογιστη (remote) που εχεις το Greenbow τι router χρησιμοποιεις? Μηπως χρειαζεται αν κανεις port forward την θυρα IKE UDP 500?
      Μπορεις να ανεβασεις screenshots της ρυθμισης VPN του Ζyxel και του greenbow σβηνοντας την static ip και το password?
    1. Το avatar του μέλους Kapnos
      Kapnos -
      Η πόρτα ήταν τελικά. Όλα καλά μπήκα κανονικά
      Υπάρχει κάποιο άλλο VPN client γιατί το greenbow έχει αλλάξει το quick user switch και δεν μπορώ να το αλλάξω;
    1. Το avatar του μέλους Fotis_Greece
      Fotis_Greece -
      Εννοεις σου εχει απενεργοποιησει το Use Fast User Switching? Νομιζω σε εμενα δεν το εκανε (δεν ειμαι μπροστα τωρα).
      Μετα πας και "ψαχνεις" το Zywall VPN Client το οποιο εχει καταργηθει-αντικατασταθει απο το Greenbow και δεν δουλευει για Vista. Καλο ειναι αλλα το μονο παραπανο ειναι οτι το προγραμμα τρεχει συνεχεια στο taskbar (ακομα και αν δεν εχεις συνδεθει με καποιο Tunnel).