Gestione VPN e access list di router remoti
Inviato: ven 13 gen , 2006 10:15 am
Salve a tutti, ho un problemino con una vpn net to net
Subnet locale a.b.c.d/24
Subnet remota x.y.z.w/24
supponiamo che la subnet remota contenga un cisco con ACL configurata per accettare connessioni solo dalla subnet x.y.z.w/24.
Questa ACL non è modificabile.
Dalla rete a.b.c.d/24 devo utilizzare il router x.y.z.1 che ovviamente rifiuta le connessioni perchè a.b.c.d non fa parte della sua ACL.
Schemino:
a.b.c.d/24 -- GATE1 === GATE2 -- x.y.z.w/24
Sia GATE1 che GATE2 sono due macchine linux con OPENSWAN configurato per tirar su il link vpn. x.y.z.w vede a.b.c.d e viceversa.
Pensavo di utilizzare il firewall di GATE2 per fare una sorta di SNAT ma ovviamente la cosa non è realizzabile dato che i pacchetti in arrivo dal tunnel vpn vengono decompressi (estratto il source) solo dopo aver passato il firewall.
Secondo voi è conveniente aggiungere un paio di 1605 con due ethernet (aggiungo quindi un hop) per fare questa sorta di SNAT ?
Schemino futuro :
a.b.c.d/24 -- GATE1 == GATE2 -- 1605-- x.y.z.w/24
Il 1605 prenderebbe solo le connessioni dirette verso x.y.z.1 e cambierebbe l'origine.
Grazie
Subnet locale a.b.c.d/24
Subnet remota x.y.z.w/24
supponiamo che la subnet remota contenga un cisco con ACL configurata per accettare connessioni solo dalla subnet x.y.z.w/24.
Questa ACL non è modificabile.
Dalla rete a.b.c.d/24 devo utilizzare il router x.y.z.1 che ovviamente rifiuta le connessioni perchè a.b.c.d non fa parte della sua ACL.
Schemino:
a.b.c.d/24 -- GATE1 === GATE2 -- x.y.z.w/24
Sia GATE1 che GATE2 sono due macchine linux con OPENSWAN configurato per tirar su il link vpn. x.y.z.w vede a.b.c.d e viceversa.
Pensavo di utilizzare il firewall di GATE2 per fare una sorta di SNAT ma ovviamente la cosa non è realizzabile dato che i pacchetti in arrivo dal tunnel vpn vengono decompressi (estratto il source) solo dopo aver passato il firewall.
Secondo voi è conveniente aggiungere un paio di 1605 con due ethernet (aggiungo quindi un hop) per fare questa sorta di SNAT ?
Schemino futuro :
a.b.c.d/24 -- GATE1 == GATE2 -- 1605-- x.y.z.w/24
Il 1605 prenderebbe solo le connessioni dirette verso x.y.z.1 e cambierebbe l'origine.
Grazie