VPN IPSec to Zyxel USG

matteo.scuccato

Ciao Fabio e grazie della risposta.
Avevo già provato con il NAT 1:1
Interface WAN
ext IP 10.10.10.65
int IP 192.168.150.80
destination *

In OUTBOUND NAT avevo già in HYBRID e ho specificato 192.168.150.80/32 NAT 10.10.10.65

La cosa strana è che in STATUS/VPN/OVERVIEW continuo a trovarmi come LOCAL IP 10.10.10.63 e non il 65 e la VPN non và su.

fabio.vigano

Prova a controllare, dovresti avere delle regole create di default proprio per ipsec. Come avevo accennato, venvono create perché ipsec non gradisce l'uso di porte sorgente statiche.
Devi necessariamente modificare questa regola altrimenti se messa prima della tua ne fa un override.
Fabio

matteo.scuccato

Ho messo in manuale le regole di NAT OUT però continuo ad avere l'instradamento verso il .63 e non il .65
Allego screenshot.
Dove sbaglio?
Grazie

P.S.
Come vedi dalle regole ho anche un altra VPN che gira verso la rete 192.168.10.0 da il IP principale della WAN.

![NAT manual.JPG](/public/imported_attachments/1/NAT manual.JPG)
![NAT manual.JPG_thumb](/public/imported_attachments/1/NAT manual.JPG_thumb)

fabio.vigano

Cambia la 4 regola mettendo il tuoi ip pubblico al posto di wan address
Ciao fabio

matteo.scuccato

Ho messo il IP .65 al posto di WAN IP.
Pensavo andasse a modificare anche la VPN che punta al .62 (IP principale della WAN)
La situazione però non cambia.

fabio.vigano

Ciao,
scusa ma leggendo/scrivendo da uno smartphone ho qualche problema. Ho visto solo ora gli screenshot del primo post.
Primo errore: negli alias non devi indicare l'IP/32 ma devi riportare la subnet corretta (immagino una /29). se leggi la nota sotto il campo te lo specifica chiaramente: "The mask must be the network's subnet mask. It does not specify a CIDR range."

Altra cosa che ho notato e che non avevo considerato prima è il fatto che il bind del server ipsec è fatto direttaente su gli ip della wan, quindi il nat outbound perde di senso perchè neanche in ingresso hai un nat (dovrebbe essere così)

Domanda stupida, perchè non hai usato per entrambe le vpn l'ip della wan?
Ciao Fabio

matteo.scuccato

Grazie per il supporto

Se vado a inserire nei VIP un indirizzo del tipo 10.10.10.0/24 mi risponde
The network address cannot be used for this VIP

L'interfaccia WAN è configurata con The network 10.10.10.62/24

Se non ricordo male, se non inserisco i VIP singolarmente, non posso richiamarli dalle regole di NAT

fabio.vigano

Infatti devi riportare il tuo ip .65/29 o .65/la tua subnet.
Fabio

matteo.scuccato

Il problema di base è che il provider mi indica come IP utilizzabili dal .62 al .71 (estremi compresi)
Ho assegnato alla WAN il .62/24
A questo punto cosa dovrei indicare nel range VIP ?

fabio.vigano

Metti la stessa subnet che hai indicato x la wan, se li hai 255.255.255.0 allora metti /24
Fabio

matteo.scuccato

OK
ora prima di procedere devo eliminare tutti i VIP che avevo creato tenendo solo quello con la subnet.
Come devo gestire le regole di NAT?
Al momento andavo a richiamare il VIP sulle varie regole. Se inserisco SINGLE HOST e metto a mano il IP pfsense mi riporta con il VIP
Vedo che posso creare anche degli ALIAS
Stò cercando di assegnare i vari IP a vari LAN presenti sotto pfsense e mi sarebbe comodo richiamarli per ALIAS.
Come mi consigli di procedere?
Una volta sistemato il NAT elimino i VIP e vado avanti con la VPN.

Grazie 1000 per il supporto

P.S.
Per quanto riguarda la precedente domanda,
abbiamo un private cloud con vari server vmware. Devo gestire i backup su cloud per dei clienti e lo scambio dati lo faccio sotto VPN.
Anche noi abbiamo una VPN IPSec con il datacenter.
Vorrei differenziare le cose, ovvero far entrare noi su un IP (tra l'altro "dedicato" alla LAN1 mentre far entrare i clienti su un altro.