Grave problema nell'utilizzo di una VPN con Sky Wifi Hub

luigis94

Salve ragazzi, per motivi di lavoro ho necessità di utilizzare a casa la vpn aziendale di Cisco.
Attualmente ho una FTTC da 200 mega e non ho attiva l'opzione wifi sicuro: ho provato a metterla e toglierla nuovamente come suggerito in un post precedente, ma lo stesso non va. Non riesco a navigare su internet, credo ci sia qualche limitazione sul router: se utilizzo hotspot da smartphone 4g/5g funziona tutto correttamente.
C'è qualche impostazione da settare o sono costretto a cambiare operatore/router?
Potete darmi una mano per favore? Vi ringrazio anticipatamente.

[cancellato]

luigis94

Che tipo di VPN usa la VPN aziendale? Quelle che usano TLS non dovrebbero avere problemi, se usano IPSec con MAP-T potrebbe avete problemi.

luigis94

[cancellato] ho trovato queste info, non so se possano essere di aiuto:
tunnel mode ipv4: split include
tunnel mode ipv6: drop all traffic
protocol: DTLSv1.2

dariuccio83

[cancellato] se usano IPSec con MAP-T potrebbe avete problemi.

Che tipo di problemi? Infatti io con Sky Wifi non riesco a far andare il Wi-Fi Calling di W3. Il tunnel sale con MTU 1500 (invece di 1480 con MAP-T) e alcuni pacchetti non arrivano al telefono. speedguide.net dice Path MTU Discovery OFF. Immagino il problema sia quello.

[cancellato]

luigis94

Sembra Cisco AnyConnect configurato per SSL-VPN, dovrebbe funzionare con MAP-T senza problemi, non è diversa da una connessione web - a meno di configurazioni particolari. Bisognerebbe vedere i log del client.

Ma non ho capito se la VPN funziona e non riesci a navigare in Internet, o proprio non funziona la VPN?

Comunque in questo caso dovresti anche sentire l'IT della tua azienda - perché molto dipende da come hanno configurato la VPN.

luigis94

[cancellato] riesco a navigare sulla intranet aziendale, ma non su internet.

flavione

luigis94 riesco a navigare sulla intranet aziendale, ma non su internet.

Hai provato a disattivare IPv6 sulla scheda wifi/ethernet del laptop aziendale?
O per caso hai disattivato il proxy aziendale sul laptop?

[cancellato]

luigis94

Quindi la VPN funziona, e anche la connessione Internet. Se l'IT della tua azienda ha deciso di ruotare tutto il tuo traffico di rete sulla VPN (si può fare) per motivi di sicurezza, poi tocca a loro farti uscire su internet dalla loro rete, con le loro regole (che potrebbe essere anche nessuna navigazione).

Strano però allora che se usi la VPN da hotspot allora riesci a navigare - però per capire cosa succede bisognerebbe veramente sapere come è configurata la VPN, per capire se hanno fatto certe scelte e le hanno configurate correttamente, o invece la configurazione ha problemi.

luigis94

flavione se disattivo ipv6 sulla scheda di rete wifi del laptop aziendale funziona tutto correttamente. Ho quindi alcune domande da farvi:

si può fare in modo che la VPN Cisco non "droppi" tutto il traffico ipv6? Cosa andrebbe cambiato nelle configurazioni?
si può disabilitare ipv6 direttamente sul router di Sky Wifi e non sul pc aziendale?
disabilitando ipv6, ho qualche svantaggio in linea generale?

stich86

Occhio che non ti sfasci la default route il client AnyConnect. Come ti ha suggerito @[cancellato] orova a togliere IPv6 dalla scheda di rete del client AnyConnect

flavione

luigis94 Se il client che usi è Cisco AnyConnect, credo sia un po' datato e non in grado di gestire IPv6.
Non puoi disattivare IPv6 sul router di Sky, e non hai svantaggi rilevanti disattivandolo invece sul tuo laptop aziendale.

[cancellato]

luigis94

Disabilitare IPv6 sul router Sky è facile. Basta spegnere il router. Scherzi a parte, Sky funziona solo via IPv6 e il traffico IPv4 viaggia sopra IPv6 sulla rete Sky. Puoi mettere un router in cascata configurato solo per IPv4 e i dispositivi a valle non vedranno più IPv6, ma è una soluzione un po' drastica.

Per non droppare tutto il traffico IPv6 va riconfigurato il client VPN, ma se quella è la configurazione che passa l'azienda devi chiedere a loro. Strano la navigazione non facesse il fallback su IPv4, ma può essere che qualcosa come DNS o altro non funzionasse più correttamente. Split senza subnet indicate dovrebbe essere equivalente a tunnel all, cioè tutto il traffico passa per la VPN, che mi sa che è quello che vogliono.

[cancellato]

dariuccio83

l problema maggiore con IPSec con IKEv2 e MAP-T è che richiede porte specifiche (es, 500 e 4500 che non sono in tutti i range) e protocolli che non sono TCP o UDP - es. EP (protocollo 50, TCP è 6 e UDP 17) - e che non hanno il concetto di "porta" e richiederebbero un trattamento speciale, come quello fatto per ICMP, che non credo sia fatto.

dariuccio83

[cancellato] io sono in 1:1 quindi il problema delle porte 500 e 4500 non c’è, infatti il tunnel viene instaurato correttamente. Riguardo ai protocolli ok, ma secondo me è lo stesso problema per cui alcuni siti non risultano raggiungibili. Da qualche parte sulla loro rete, o nello Sky Hub, vengono bloccati alcuni tipi di pacchetti ICMP.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile