VPN L2L Cisco-Watchguard su stessa subnet
Inviato: ven 12 mar , 2010 7:25 pm
Ciao a tutti,
ho un problema con la creazione di una VPN Lan-to-Lan fra un Cisco 850 (12.4) e un Watchguard (11.1). Il problema è che devo nattare le due VPN visto che, sul lato Watchguard, la subnet con cui si presenterebbe il Cisco è già occupata da un'altra VPN. La VPN, per la cronaca, viene creata senza problemi e risulta sia sul Watchguard che su Cisco ("sh crypto isakmp sa" restituisce la VPN connessa correttamente) ma le due parti del tunnel non riescono a dialogare fra loro.
La situazione è questa:
LAN1 = Lato Cisco
LAN1 indirizzo privato = 192.168.1.0/24
LAN1 indirizzo nattato = 192.168.3.0/24
LAN1 indirizzo pubblico = 88.40.abc.def
LAN2 = Lato Watchguard
LAN2 indirizzo privato = 192.168.0.0/24
LAN2 indirizzo nattato = 192.168.4.0/24
LAN2 indirizzo pubblico = 88.57.ghi.jkl
Questa è, tagliando via il superfluo, la configurazione del Cisco:
In questo modo la rete LAN1 riesce ad andare su Internet ma NON riesce a passare dal tunnel (perché manca, presumo, il nat della rete locale). Se, però, aggiungo questo
riesco a passare dal tunnel ma Internet viene bloccata (perché presumo venga instradato tutto il traffico all'interno del tunnel).
C'è un modo per risolvere questa situazione che non comprenda l'acquisto di altro hardware o il cambio delle sottoreti?
Chiedo troppo?
Buon fine settimana a tutti!
ho un problema con la creazione di una VPN Lan-to-Lan fra un Cisco 850 (12.4) e un Watchguard (11.1). Il problema è che devo nattare le due VPN visto che, sul lato Watchguard, la subnet con cui si presenterebbe il Cisco è già occupata da un'altra VPN. La VPN, per la cronaca, viene creata senza problemi e risulta sia sul Watchguard che su Cisco ("sh crypto isakmp sa" restituisce la VPN connessa correttamente) ma le due parti del tunnel non riescono a dialogare fra loro.
La situazione è questa:
LAN1 = Lato Cisco
LAN1 indirizzo privato = 192.168.1.0/24
LAN1 indirizzo nattato = 192.168.3.0/24
LAN1 indirizzo pubblico = 88.40.abc.def
LAN2 = Lato Watchguard
LAN2 indirizzo privato = 192.168.0.0/24
LAN2 indirizzo nattato = 192.168.4.0/24
LAN2 indirizzo pubblico = 88.57.ghi.jkl
Questa è, tagliando via il superfluo, la configurazione del Cisco:
Codice: Seleziona tutto
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key XXXXXXXXXXX address 88.57.ghi.jkl
crypto isakmp keepalive 20 5
crypto isakmp aggressive-mode disable
!
crypto ipsec transform-set LAN2LANSET esp-3des esp-sha-hmac
!
crypto map LANTOLANMAP 20 ipsec-isakmp
set peer 88.57.ghi.jkl
set transform-set LAN2LANSET
match address 120
!
no ip source-route
no ip gratuitous-arps
!
ip cef
no ip domain lookup
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.40.abc.def 255.255.255.248
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
crypto map LANTOLANMAP
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map NONAT interface ATM0.1 overload
!
access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
route-map NONAT permit 10
match ip address 110
Codice: Seleziona tutto
ip nat inside source static network 192.168.1.0 192.168.3.0 /24 no-aliasC'è un modo per risolvere questa situazione che non comprenda l'acquisto di altro hardware o il cambio delle sottoreti?
Chiedo troppo?
Buon fine settimana a tutti!