VPN con Firewall Zyxel USG-100

Ciao ragazzi,

Come molti di voi sanno il materiale su internet circa la configurazione di questo tipo di VPN e' praticamente assente. Infatti per poter aprire una estensione della rete aziendale si e' "indotti, veicolati" verso l'acquisto di licenze client gia belle e impostate.

Ma se non si vuol pagare nulla ?

Il tutto e' iniziato quando il dirigente generale mi chiede : "Marco ... voglio che mi configuri sul mio pc di casa un accesso VPN per visionare le cam e per accedere ai server" ............. panico ....... :mc:

Non ho potuto che dire "Ma certo direttore, le mando per email le credenziali di accesso".

E qui inizia l'incubo.  :help: Su internet  il nulla, manuali Zyxel ? niente da fare !

Il tempo stringe e le notti si fanno corte.
dopo 4 nottate sono riuscito a configurare una VPN
con questo bel giocattolo che e' lo Zyxel USG-100.

Per prima cosa fate un bel backup del dispositivo, non si sa mai.

1. Avviate il Wizard e selezionate VPN setup
2. Usiamo il metodo Express
3. Scegliamo Remote Access (Server Role) in questo modo accederemo da qualsiasi client
4. Immettiamo una PreShared Key complessa ( anche se non la useremo )
5. In Local policy inseriamo un ip interno della LAN Aziendale ad esempio 172.16.11.100/255.255.0.0
6. In Local policy inseriamo un ip interno della LAN Aziendale ad esempio 172.16.11.100/255.255.0.0, Questo e' importante perche l'assegnazione dell' IP al client che richiede l'apertura del tunnel
7. Cliccare SAVE per generare lo script VPN

A questo punto la VPN IpSec e' stata creata, ma dobbiamo configurare l'utente che dovrà accedere alla VPN, quindi :

1. Andiamo su Object->User/Group
2. Creiamo un utente ad esempio MARCO appartenente al User Tupe USER, ( non si puo' accedere alla VPN se si e' amministratori o Limited admin )
3. Andiamo su Object->Address
4. Creiamo un nuovo indirizzo, qui possiamo decidere cosa deve avere visibile chi si connette. Se inseriamo l'ip xxx di una macchina della nostra LAN, appena effettuato l'accesso alla VPN, dal client verra pingato solo l'indirizzo xxx. Se impostiamo un range vedra' solo quello etc, quindi scegliete voi cosa consentire.  
5. Andiamo su VPN->SSL Vpn
6. Sul Tab Access Privilege creiamo una nuova regola 
7. Abilitiamo la spunta "Enable policy" e togliamo "Join SSL_VPN Zone"
8. Dalla lista degli User inseriamo l'utente precedentemente creato
9. Non aggiungiamo nessun "SSL Application List"
10. Abilitiamo "Network Extension"
11. Su "Assign IP Pool" si deve inserire l'indirizzo di una qualsiasi macchina della LAN. Questo serve per fare in modo che il firewall assegni al client vpn un indirizzo appartenente alla classe della LAN aziendale. Quindi basterà inserire l'indirizzo/range creato al punto 4. Se ad esempio l'indirizzo xxx e' 172.16.11.134/255.255.0.0, non appena ci si collegherà alla VPN il DHCP del firewall assegnerà 172.16.0.1/255.255.0.0 e cosi via
12. Su Network List imposteremo invece l'idirizzo o gli indirizzi/range che vorremo consentire essere raggiunti una volta connessi alla VPN ( possono essere  diversi ad esempio consentire l'accesso a 4 macchine con IP non contigui, ovviamente dovrete prima crearli o al momento cliccando sul bottoncino "Create New Address Object" )
13. Confermate e fate il logoff al firewall

Qui viene la parte piu' semplice.

Da casa o da ovunque purche fuori dalla lan aziendale,
aprite Internet Explorer ( funziona solo con IE >= ver.6 )
e sull'indirizzo impostate [url]https://indirizzopubblicoadslaziendale[/url] che e' attestato al Vs FIREWALL ZYXEL USG-100.

sulla mascherina impostate l'utente creato al punto 2 ( seconda lista )
la password ed voitla' (si scrive cosi ) vi verra chiesto di installare, (una tantum ), un ActiveX che il Vs firewall distribuirà al client e appena attivato
alla Vs scheda LAN verrà aggiunto  un nuovo indirizzo appartenente alla classe della Vs LAN aziendale cosi come indicato nel punto 11.

Buon Lavoro