VPN - Tom's Hardware

VPN

Zywall 2 e 2 plus rappresentano i prodotti entry-level della gamma Security Appliance di Zyxel, entrambi sono router a quattro porte 10/100 con firewall SPI, endpoint IPsec in grado di supportare due tunnel VPN e set di caratteristiche che ne consentono l'uso nelle reti più grandi, dietro multipli livelli di router.

VPN

La vera star dello show del 2 Plus è, comunque, la sua VPN IPsec. Ma nonostante il throughput rispetti le dichiarazioni di Zyxel, il 2 Plus non rappresenta lo stato dell'arte in termini di facilità di configurazione e utilità della documentazione legata alla VPN. Dobbiamo comunque ammettere che il Wizard della VPN ha enormemente facilitato la configurazione del nostro tunnel di prova router-a-router, principalmente perchè ha mostrato schermate (provviste di help online) contenenti tutte le impostazioni necessarie per una corretta configurazione di un tunnel di base.

Nemmeno il wizard o l'help online sono abbastanza a prova di proiettile da permettere la costruzione di un tunnel IPsec funzionante al primo colpo, subito dopo la sua creazione. Per esempio, sia nel wizard, che nell'help online o nella Guida Utente o nel Quick Start non abbiamo trovato nessun avvertimento circa uno degli errori più comuni: non ci siamo assicurati che le LAN agli estremi del tunnel usassero subnet differenti.

Nell'help online abbiamo anche scoperto un piccolo errore nell'uso del termine "remoto" al posto di "locale" che, se seguito, non ci avrebbe mai permesso di arrivare ad un tunnel funzionante. Dato che abbiamo già lavorato con successo su uno o due tunnel, siamo stati in grado di risovere ogni errore e arrivare alla fine del wizard con un tunnel router-a-router funzionante. Naturalmente dopo aver cambiato la subnet della LAN di uno dei router, a 192.168.0.X dal suo default 192.168.1.X.

L'altro modo per configurare un tunnel consiste nel partire dalla schermata Security > VPN e da qui creare le policy Gateway e Network. La Figura 13 mostra le regole costituite dalle nostre sessioni di Wizard VPN, con la policy network associata alla policy gateway, estesa utilizzando l'icona "+" nella colonna a sinistra. Un clic sulle icone di modifica di ciascuna policy ne apre la schermata associata.

Figura 13: Schermata Regole VPN (IKE) (Cliccate sull'immagine per ingrandirla)

La Figura 14 mostra la schermata di modifica delle policy di Gateway con le opzioni estese. Notate in particolare, le possibilità di abilitare un gateway remoto ridondante (la caratteristica denominata "VPN High Availability (HA)"), usare un certificato per l'autenticazione e le opzioni di autenticazione estese utilizzando il database integrato o un server RADIUS esterno. Notate anche che le policy del gateway possono gestire un indirizzo IP dinamico sul gateway locale, ma il remoto deve avere un indirizzo IP fisso o un nome di dominio.

Figura 16: Schermata delle policy del Gateway VPN (Cliccate sull'immagine per ingrandirla)