Ciao a tutti,
ho provato a cercare una soluzione a questo problema, ma senza successo. E non riesco a capire come fare a venirne fuori.
La situazione è questa.
Ho collegato due reti tramite un tunnel IPSEC tra un ASA 5510 ed un Fortigate 50. Tutto funziona a meraviglia, solo che ho un esigenza particolare che non so come soddisfare.
Nel sito A ci sono due server, nel sito B invece al Fortigate è collegato un router Cisco 1800 che connette il sito B ad una rete protetta.
Questa la situazione degli IP:
Sito A 192.168.2.x
Sito B Fortigate 192.168.6.x
Sito B , indirizzo Cisco 1800 175.21.176.1
Questi due ultimi sono collegati tra di loro.
Il problema: solo uno specifico indirizzo ip, diciamo 175.21.176.5, può accedere alla rete dietro il Cisco 1800.
Quindi, dal sito A riesco a vedere il Fortigate e pingare il Cisco 1800, ma non riesco ad accedere ad un sito web dietro il Cisco 1800, soprattutto perchè non riesco a capire con che indirizzo mi presento.
Soprattutto, non colgo dove debbo agire.
Per fare i test era stata messa una macchina con 2 nic tra il Fortigate e il Cisco 1800, con due indirizzi compatibili su ognuno delle nic (nello specifico lato Cisco 1800 era 175.21.176.5). Dall'esterno si accedeva in RDP sulla macchina e si riusciva a vedere il sito dietro il Cisco 1800.
Ora, con la VPN, come faccio a fare in modo che qualsiasi cosa arrivi al Cisco 1800 si presenti con l'indirizzo IP autorizzato?
Su quali apparati devo agire?
A logica direi che debbo aggiungere al Fortigate un secondo indirizzo IP lato internal, ma non riesco a risolvere la cosa in modo logico + che tecnico.
Mi date una mano?
Ho provato anche ad assegnare un secondo indirizzo IP alla nic del server nel Sito A, ovviamente senza successo alcuno...
Grazie!!!
VPN site to site, funziona ma non so come fare una cosa..
Moderatore: Federico.Lagni
-
Leviatano
- Cisco fan
- Messaggi: 40
- Iscritto il: mar 20 gen , 2009 4:56 pm
- Località: ROMA
Ciao!
allora senza farti prendere dal panico, ragioniamo insieme; almeno sulla base di quanto scrivi si evince che fino al Cisco ci arrivi tramite vpn creata con il fortigate, giusto?! Potendo pingare il Cisco e sapendo che i due server si trovano dietro al Cisco, dovresti lavorare sul NAT del router per poter inoltrare le richieste http verso le macchine interne.
Perciò entra sul Cisco e verifica la configurazione NAT!
Occhio che VPN e NAT non vanno d'accordo. Valuta la possibilità di splittare il tunneling. Verifica eventuali regole di firewalling configurate sul Cisco. Verifica i logs! Una volta verificato che è tutto ok, in linea di principio, dovresti permettere che qualsiasi richiesta del tale servizio verso quel tale ip sia traslata in una richiesta dello stesso servizio questa volta però verso l'ip o gli ip appartenenti alla rete dietro il Cisco. Configura le eventuali regole di firewall e fai delle prove. Dovrebbe andare.
Lev
allora senza farti prendere dal panico, ragioniamo insieme; almeno sulla base di quanto scrivi si evince che fino al Cisco ci arrivi tramite vpn creata con il fortigate, giusto?! Potendo pingare il Cisco e sapendo che i due server si trovano dietro al Cisco, dovresti lavorare sul NAT del router per poter inoltrare le richieste http verso le macchine interne.
Perciò entra sul Cisco e verifica la configurazione NAT!
Occhio che VPN e NAT non vanno d'accordo. Valuta la possibilità di splittare il tunneling. Verifica eventuali regole di firewalling configurate sul Cisco. Verifica i logs! Una volta verificato che è tutto ok, in linea di principio, dovresti permettere che qualsiasi richiesta del tale servizio verso quel tale ip sia traslata in una richiesta dello stesso servizio questa volta però verso l'ip o gli ip appartenenti alla rete dietro il Cisco. Configura le eventuali regole di firewall e fai delle prove. Dovrebbe andare.
Lev
