ciao a tutti!
ho realizzato una vpn site to site tra un cisco (che sarà un centro stella per altre vpn) e un'altra sede periferica
Chiaramente la sede centrale (centro stella) e quelle periferiche hanno piani di indirizzamento diversi.
Ora, a causa di un applicativo che sta nella sede centrale, le richieste da e per le sedi periferiche devono essere viste come generate/indirizzate verso IP della stessa rete della sede centrale.
E' sufficiente fare delle regole di NAT statiche?
La crypto map che seleziona il traffico da inviare sulla VPN dovrà essere fatta sull'indirizzo locale nattato o su quello remoto?
CIAO!!
VPN & NAT
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Nn ho capito perchè dovresti fare nat...
Nat di cosa?
Nat di cosa?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
SocciO
- n00b
- Messaggi: 12
- Iscritto il: mer 11 giu , 2008 4:10 pm
mi spiego meglio
sito centrale : a.a.a.a
sito periferico : b.b.b.b
voglio che un applicativo sulla rete a.a.a.a possa raggiungere una macchina sulla rete b.b.b.b tramite VPN. Il problema è che l'applicativo in questione può comunicare solo con macchine aventi IP della sua stessa sottorete, quindi della rete a.a.a.a
Pensavo quindi di nattare un indirizzo della rete a.a.a.a con la macchina target della rete b.b.b.b. In questo modo il pacchetto sarebbe stato nattato e inviato sulla VPN con l'indirizzo di destinazione della rete b.b.b.b
Ho provato ma non funziona....hai qualche altra idea?
Grazie!
sito centrale : a.a.a.a
sito periferico : b.b.b.b
voglio che un applicativo sulla rete a.a.a.a possa raggiungere una macchina sulla rete b.b.b.b tramite VPN. Il problema è che l'applicativo in questione può comunicare solo con macchine aventi IP della sua stessa sottorete, quindi della rete a.a.a.a
Pensavo quindi di nattare un indirizzo della rete a.a.a.a con la macchina target della rete b.b.b.b. In questo modo il pacchetto sarebbe stato nattato e inviato sulla VPN con l'indirizzo di destinazione della rete b.b.b.b
Ho provato ma non funziona....hai qualche altra idea?
Grazie!
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ok capito, fallo sul fw della sede B però
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
SocciO
- n00b
- Messaggi: 12
- Iscritto il: mer 11 giu , 2008 4:10 pm
purtroppo sul sito periferico non c'è possibilità...è un router di fascia bassa e so solo io quello che ho dovuto fare per far funzionare la VPN!!
comunque, ho visto che il router cisco processa prima le regole di NAT e poi le ACL (quindi anche quella della crypto map), e ho quindi aggiunto al router della sede centrale:
ip nat inside source static 10.41.171.42 192.168.5.100
ip nat outside source static 192.168.5.100 10.41.171.42
la rete 10.... è della sede centrale, la 192.... della sede periferica
ora dalla sede centrale a quella periferica tutto ok se pingo il 10.41.171.42
dalla sede periferica non riesco a pingare la sede centrale (ad esempio l'indirizzo 10.41.171.41)
regole di firewall tutto ok...cosa può essere?
comunque, ho visto che il router cisco processa prima le regole di NAT e poi le ACL (quindi anche quella della crypto map), e ho quindi aggiunto al router della sede centrale:
ip nat inside source static 10.41.171.42 192.168.5.100
ip nat outside source static 192.168.5.100 10.41.171.42
la rete 10.... è della sede centrale, la 192.... della sede periferica
ora dalla sede centrale a quella periferica tutto ok se pingo il 10.41.171.42
dalla sede periferica non riesco a pingare la sede centrale (ad esempio l'indirizzo 10.41.171.41)
regole di firewall tutto ok...cosa può essere?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Frena frena...
Es:
Rete A: 192.168.1.0/24
Rete B: 192.168.2.0/24
Applicativo: 192.168.2.10
Applicativo accetta connessioni solo dalla rete B
OK, è tardi e sn stanco quindi potrei dire una caxxata però direi che la unica cosa sicura che puoi fare x far funzionare il tutto è:
nat 1:1 o pat sul router della sede A solo quando vai verso la rete B (policy nat).
Attento però. devi usare ip di nat nn presenti nella rete B senò nn andrà nulla!
Es:
Rete A: 192.168.1.0/24
Rete B: 192.168.2.0/24
Applicativo: 192.168.2.10
Applicativo accetta connessioni solo dalla rete B
OK, è tardi e sn stanco quindi potrei dire una caxxata però direi che la unica cosa sicura che puoi fare x far funzionare il tutto è:
nat 1:1 o pat sul router della sede A solo quando vai verso la rete B (policy nat).
Attento però. devi usare ip di nat nn presenti nella rete B senò nn andrà nulla!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
SocciO
- n00b
- Messaggi: 12
- Iscritto il: mer 11 giu , 2008 4:10 pm
grazie mille per la disponibilità wizard
premetto che sul router della rete A non si può mettere mano!
per quanto riguarda il NAT, come ho scritto sopra, ci ho provato
ho fatto una cosa del tipo
Rete A: 192.168.1.0/24
Rete B: 192.168.2.0/24
Applicativo: 192.168.2.10
su router in rete B
nat inside source static 192.168.2.42 192.168.1.100
interpretandolo come: "le richieste verso 192.168.2.42 nattale con il 192.168.1.100"
riflettendoci però ho capito che il nat in questione modifica l'IP sorgente, non il destinazione, quindi il tutto va reinterpretato come: "le richieste che partono da 192.168.2.42 nattale e falle comparire come se provenissero da 192.168.1.100"
è giusta questa riflessione?
premetto che sul router della rete A non si può mettere mano!
per quanto riguarda il NAT, come ho scritto sopra, ci ho provato
ho fatto una cosa del tipo
Rete A: 192.168.1.0/24
Rete B: 192.168.2.0/24
Applicativo: 192.168.2.10
su router in rete B
nat inside source static 192.168.2.42 192.168.1.100
interpretandolo come: "le richieste verso 192.168.2.42 nattale con il 192.168.1.100"
riflettendoci però ho capito che il nat in questione modifica l'IP sorgente, non il destinazione, quindi il tutto va reinterpretato come: "le richieste che partono da 192.168.2.42 nattale e falle comparire come se provenissero da 192.168.1.100"
è giusta questa riflessione?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Codice: Seleziona tutto
nat inside source static 192.168.2.42 192.168.1.100 Devi fare:
nat outisde ...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
