Peer-to-Peer VPN
Un VPN Peer-to-Peer (chiamato anche Site-to-Site VPN) offre la possibilità di collegare in modo sicuro due o più sedi geograficamente separate tramite Internet, come se fossero un'unica rete privata — ad esempio filiali e sede principale.
Casi d'uso tipici
- Collegamento sedi: Due uffici o filiali condividono una rete comune per condivisioni file, stampanti e applicazioni interne.
- Accesso remoto ai server: Accesso a un file server o database nell'altra sede.
- Backup centralizzati: I dati di una filiale vengono salvati nella sede principale tramite il tunnel VPN.
- VoIP tra sedi: Telefonia interna tra due uffici senza costi tramite la rete pubblica.
Configurare il VPN
Nel portale del router sotto Rete → Peer-to-Peer VPN:
- Attivare la funzione Peer-to-Peer VPN e salvare
- Aggiungere un nuovo sito VPN
- Inserire e aggiungere i dati di connessione VPN del sito remoto
Crittografia
Centro Business verso Centro Business
Quando si configura una VPN tra due Centro Business, la scelta della crittografia avviene automaticamente. Non è necessaria alcuna configurazione manuale.
Centro Business verso un sito VPN remoto qualsiasi
Se il sito remoto non utilizza un Centro Business, la crittografia deve essere configurata manualmente. Sono disponibili i seguenti profili (PFS è sempre consigliato):
| Parametro | Swisscom-IKEv2-PFS | Swisscom-IKEv2 |
|---|---|---|
| IKE Exchange Mode | Main | Main |
| Phase 1 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 1 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 1 DH Transforms | Curve25519, MODP-8192, ECP-384, MODP-2048 | Curve25519, MODP-8192, ECP-384, MODP-2048 |
| Phase 1 SA Lifetime | 86400 | 86400 |
| Phase 2 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 2 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 2 SA Lifetime | 86400 | 86400 |
| PFS | Curve25519, MODP-8192, ECP-384, MODP-2048 | Disattivato |
Ottimizzazione delle prestazioni (NAT-T)
Per le connessioni VPN stabilite tramite un proprio router o firewall dietro il Centro Business, si consiglia l'attivazione di NAT-T (NAT Traversal).
Vantaggi tecnici:
- Aumento del throughput: La velocità di trasmissione del tunnel VPN aumenta.
- Accelerazione hardware: NAT-T incapsula i pacchetti IPsec in pacchetti UDP. Ciò consente al Centro Business di accelerare i pacchetti via hardware.
Prerequisito: NAT-T deve essere attivato anche sul sito remoto affinché la connessione venga stabilita con successo e i vantaggi prestazionali siano effettivi.
Restrizioni
- Non disponibile con contratto BNS/EC-S
- IKEv1 non è supportato (solo IKEv2)
FAQ - Peer-to-Peer VPN
A cosa bisogna prestare attenzione quando si collegano reti tramite VPN?
- Se esistono vulnerabilità di sicurezza in uno dei siti VPN, i tunnel VPN offrono a un aggressore la possibilità di accedere ad ulteriori infrastrutture (il rischio di danno aumenta).
- Se il sito remoto non utilizza un router Centro Business, la configurazione della VPN richiede conoscenze tecniche.
Cos'è PFS?
PFS sta per "Perfect Forward Secrecy". Garantisce che anche se le chiavi di un canale di comunicazione vengono compromesse, le sessioni passate non possano essere decifrate. PFS è sempre consigliato.
Perché IKEv1 non è più supportato?
IKEv2 offre miglioramenti significativi rispetto a IKEv1: struttura di protocollo semplificata, migliori algoritmi di crittografia, supporto MOBIKE per dispositivi mobili e vulnerabilità corrette. Per motivi di sicurezza, è supportato esclusivamente IKEv2.
Manca qualcosa? Inviateci il vostro feedback!
Aiutateci a migliorare il CB Guide. Diteci quali contenuti vi mancano o cosa possiamo ottimizzare.
Invia feedback