VPN remote -> Pix -> VPN site to site verso cliente

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
maggica68
n00b
Messaggi: 2
Iscritto il: mer 09 nov , 2005 10:21 pm

Ciao,
sto provando a configurare la connessione ad un tunnel VPN site to site già attivo su un Pix 515e, collegandomi al PIX tramite vpn remote, con un pc con il client Cisco.
Mi spiego meglio:

Dal pc tramite il client VPN mi collego al PIX e mi viene assegnato un indirizzo IP tramite local pool precedentemente configurato, che è nel range degli Ip che possono entrare tramite access list in un tunnel VPN site to site che ci collega a dei clienti.

In pratica lo scopo è quello di dare la possibilità agli utenti anche da casa tramite client Cisco VPN, di collegarsi al Pix e da li entrare nel tunnel VPN site to site per raggiungere il cliente.

Con tutte le prove fatte fino ad ora, sono riuscito al massimo dal pc con il client, a raggiungere le risorse direttamente collegate al PIX, ma mai sono riuscito ad incanalare il flusso dei dati nel II° tunnel VPN.

Qualcuno ha mai messo in piedi una connessione del genere, o sa se si può fare?

Grazie in anticipo a chi vorrà rispondere

Sandro
Top
Avatar utente
MaiO
Messianic Network master
Messaggi: 1083
Iscritto il: sab 15 ott , 2005 10:55 am
Località: Milano
Contatta:
Contatta MaiO

Se ho capito bene, devi poter raggiungere la VPN site to site tramite la VPDN. In questo caso devi indicare al client VPN a prendersi cura e instradare i pacchetti per la vpn site to site. Inzommma un pò di routing.

Ciao
-=] MaiO [=-
Top
maggica68
n00b
Messaggi: 2
Iscritto il: mer 09 nov , 2005 10:21 pm

Mi sa che non basta dire al client connesso con la remote VPN come raggiungere il II° tunnel.
Credo che il problema sia che entrambe le VPN vengono fatte sulla stessa interfaccia (outside), e il PIX non rindirizza il traffico che arriva in ingresso sulla stessa interfaccia in uscita.

Grazie comunque
Top
Avatar utente
MaiO
Messianic Network master
Messaggi: 1083
Iscritto il: sab 15 ott , 2005 10:55 am
Località: Milano
Contatta:
Contatta MaiO

Se non hai il sysopt per pptp e ipsec, dovrai indicarglielo via ACL. Il problema della stessa int non si pone neanche. Ippotiziamo che la rete in pp è la segunete 10.10.10.0/24. Pool VPDN ippoiziamo abbia 10.10.11.0/24. Secondo te??? quando io pingo da client il 10.10.10.10 che cavolo ne sa lui che deve inviare i pachetti prima al 10.10.11.1 (il quale poi fara il routing) per raggiungere la destinazione desiderata!?!!?!?! ti basta un route add dalla cmd win e vedrai se funziona o meno.

fammi sapere


ciao
-=] MaiO [=-
Top
Avatar utente
andrewp
Messianic Network master
Messaggi: 2199
Iscritto il: lun 13 giu , 2005 7:32 pm
Località: Roma

Ricordatevi di dare "-p" quando utilizzate una route add su win altrimenti quando scollegate il cavo o spegnete il pc perderete la rotta.
Manipolatore di bit.
Top
Rispondi

Torna a “VPN”