Ciao,
sto provando a configurare la connessione ad un tunnel VPN site to site già attivo su un Pix 515e, collegandomi al PIX tramite vpn remote, con un pc con il client Cisco.
Mi spiego meglio:
Dal pc tramite il client VPN mi collego al PIX e mi viene assegnato un indirizzo IP tramite local pool precedentemente configurato, che è nel range degli Ip che possono entrare tramite access list in un tunnel VPN site to site che ci collega a dei clienti.
In pratica lo scopo è quello di dare la possibilità agli utenti anche da casa tramite client Cisco VPN, di collegarsi al Pix e da li entrare nel tunnel VPN site to site per raggiungere il cliente.
Con tutte le prove fatte fino ad ora, sono riuscito al massimo dal pc con il client, a raggiungere le risorse direttamente collegate al PIX, ma mai sono riuscito ad incanalare il flusso dei dati nel II° tunnel VPN.
Qualcuno ha mai messo in piedi una connessione del genere, o sa se si può fare?
Grazie in anticipo a chi vorrà rispondere
Sandro
VPN remote -> Pix -> VPN site to site verso cliente
Moderatore: Federico.Lagni
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Se ho capito bene, devi poter raggiungere la VPN site to site tramite la VPDN. In questo caso devi indicare al client VPN a prendersi cura e instradare i pacchetti per la vpn site to site. Inzommma un pò di routing.
Ciao
Ciao
-=] MaiO [=-
-
- n00b
- Messaggi: 2
- Iscritto il: mer 09 nov , 2005 10:21 pm
Mi sa che non basta dire al client connesso con la remote VPN come raggiungere il II° tunnel.
Credo che il problema sia che entrambe le VPN vengono fatte sulla stessa interfaccia (outside), e il PIX non rindirizza il traffico che arriva in ingresso sulla stessa interfaccia in uscita.
Grazie comunque
Credo che il problema sia che entrambe le VPN vengono fatte sulla stessa interfaccia (outside), e il PIX non rindirizza il traffico che arriva in ingresso sulla stessa interfaccia in uscita.
Grazie comunque
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Se non hai il sysopt per pptp e ipsec, dovrai indicarglielo via ACL. Il problema della stessa int non si pone neanche. Ippotiziamo che la rete in pp è la segunete 10.10.10.0/24. Pool VPDN ippoiziamo abbia 10.10.11.0/24. Secondo te??? quando io pingo da client il 10.10.10.10 che cavolo ne sa lui che deve inviare i pachetti prima al 10.10.11.1 (il quale poi fara il routing) per raggiungere la destinazione desiderata!?!!?!?! ti basta un route add dalla cmd win e vedrai se funziona o meno.
fammi sapere
ciao
fammi sapere
ciao
-=] MaiO [=-