Salve ragazzi, per motivi di lavoro ho necessità di utilizzare a casa la vpn aziendale di Cisco.
Attualmente ho una FTTC da 200 mega e non ho attiva l'opzione wifi sicuro: ho provato a metterla e toglierla nuovamente come suggerito in un post precedente, ma lo stesso non va. Non riesco a navigare su internet, credo ci sia qualche limitazione sul router: se utilizzo hotspot da smartphone 4g/5g funziona tutto correttamente.
C'è qualche impostazione da settare o sono costretto a cambiare operatore/router?
Potete darmi una mano per favore? Vi ringrazio anticipatamente.

    • [cancellato]

    • Messaggio #2

    luigis94

    Che tipo di VPN usa la VPN aziendale? Quelle che usano TLS non dovrebbero avere problemi, se usano IPSec con MAP-T potrebbe avete problemi.

        [cancellato] ho trovato queste info, non so se possano essere di aiuto:
        tunnel mode ipv4: split include
        tunnel mode ipv6: drop all traffic
        protocol: DTLSv1.2

            • [cancellato]

            • Messaggio #4

            luigis94

            Sembra Cisco AnyConnect configurato per SSL-VPN, dovrebbe funzionare con MAP-T senza problemi, non è diversa da una connessione web - a meno di configurazioni particolari. Bisognerebbe vedere i log del client.

            Ma non ho capito se la VPN funziona e non riesci a navigare in Internet, o proprio non funziona la VPN?

            Comunque in questo caso dovresti anche sentire l'IT della tua azienda - perché molto dipende da come hanno configurato la VPN.

                luigis94 riesco a navigare sulla intranet aziendale, ma non su internet.

                Hai provato a disattivare IPv6 sulla scheda wifi/ethernet del laptop aziendale?
                O per caso hai disattivato il proxy aziendale sul laptop?

                    • [cancellato]

                    • Messaggio #7

                    luigis94

                    Quindi la VPN funziona, e anche la connessione Internet. Se l'IT della tua azienda ha deciso di ruotare tutto il tuo traffico di rete sulla VPN (si può fare) per motivi di sicurezza, poi tocca a loro farti uscire su internet dalla loro rete, con le loro regole (che potrebbe essere anche nessuna navigazione).

                    Strano però allora che se usi la VPN da hotspot allora riesci a navigare - però per capire cosa succede bisognerebbe veramente sapere come è configurata la VPN, per capire se hanno fatto certe scelte e le hanno configurate correttamente, o invece la configurazione ha problemi.

                      Occhio che non ti sfasci la default route il client AnyConnect. Come ti ha suggerito @[cancellato] orova a togliere IPv6 dalla scheda di rete del client AnyConnect

                      flavione se disattivo ipv6 sulla scheda di rete wifi del laptop aziendale funziona tutto correttamente. Ho quindi alcune domande da farvi:

                      • si può fare in modo che la VPN Cisco non "droppi" tutto il traffico ipv6? Cosa andrebbe cambiato nelle configurazioni?

                      • si può disabilitare ipv6 direttamente sul router di Sky Wifi e non sul pc aziendale?

                      • disabilitando ipv6, ho qualche svantaggio in linea generale?

                          luigis94 Se il client che usi è Cisco AnyConnect, credo sia un po' datato e non in grado di gestire IPv6.
                          Non puoi disattivare IPv6 sul router di Sky, e non hai svantaggi rilevanti disattivandolo invece sul tuo laptop aziendale.

                            • [cancellato]

                            • Messaggio #11
                            • Modificato

                            luigis94

                            Disabilitare IPv6 sul router Sky è facile. Basta spegnere il router. Scherzi a parte, Sky funziona solo via IPv6 e il traffico IPv4 viaggia sopra IPv6 sulla rete Sky. Puoi mettere un router in cascata configurato solo per IPv4 e i dispositivi a valle non vedranno più IPv6, ma è una soluzione un po' drastica.

                            Per non droppare tutto il traffico IPv6 va riconfigurato il client VPN, ma se quella è la configurazione che passa l'azienda devi chiedere a loro. Strano la navigazione non facesse il fallback su IPv4, ma può essere che qualcosa come DNS o altro non funzionasse più correttamente. Split senza subnet indicate dovrebbe essere equivalente a tunnel all, cioè tutto il traffico passa per la VPN, che mi sa che è quello che vogliono.

                              [cancellato] se usano IPSec con MAP-T potrebbe avete problemi.

                              Che tipo di problemi? Infatti io con Sky Wifi non riesco a far andare il Wi-Fi Calling di W3. Il tunnel sale con MTU 1500 (invece di 1480 con MAP-T) e alcuni pacchetti non arrivano al telefono. speedguide.net dice Path MTU Discovery OFF. Immagino il problema sia quello.

                                  • [cancellato]

                                  • Messaggio #13

                                  dariuccio83

                                  l problema maggiore con IPSec con IKEv2 e MAP-T è che richiede porte specifiche (es, 500 e 4500 che non sono in tutti i range) e protocolli che non sono TCP o UDP - es. EP (protocollo 50, TCP è 6 e UDP 17) - e che non hanno il concetto di "porta" e richiederebbero un trattamento speciale, come quello fatto per ICMP, che non credo sia fatto.

                                      [cancellato] io sono in 1:1 quindi il problema delle porte 500 e 4500 non c’è, infatti il tunnel viene instaurato correttamente. Riguardo ai protocolli ok, ma secondo me è lo stesso problema per cui alcuni siti non risultano raggiungibili. Da qualche parte sulla loro rete, o nello Sky Hub, vengono bloccati alcuni tipi di pacchetti ICMP.

                                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                        P.I. IT16712091004 - info@fibraclick.it

                                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile