Salve a tutti ragazzi.
Essendo stato incaricato di implementare e configurare una vpn tra 2 sedi della mia azienda ed essendo un pò arrugginito in tema di networking vi chiedo una mano.
Si devono acquistare 2 asa 5505 (o forse 5510) per le 2 sedi da collegare in vpn di cui di seguito lo schema:
LAN1 - SWITCH1 - ROUTER 1 ----INTERNET ---- ROUTER 2 - SW2 - LAN2
dove router 1 e router 2 sono 2 apparati fastweb (non so neanche se siano configurabili) e con 2 ip pubblici noti.
ecco le mie domande:
- acquistando i 2 asa si avranno problemi co sti benedetti router fastweb? Non sono mai riuscito a capire se sto nat di fastweb dia problemi o meno per fare una vpn (sia site-to-site che client-to-site).
- i 2 asa andranno posti tra lo switch ed il router delle 2 sedi e dovranno avere come gw rispettivamente i 2 router??
- Devono avere 2 ip pubblici anche i 2 asa??
- Se i router non sono configurabili come cavolo riescono a permettere il passaggio del traffico ipsec??
Grazie in anticipo per l'aiuto e scusate la banalità delle domande!
Sergio
vpn - fastweb - asa
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
O fai il nat del ip pubblico del router sul ip della int outside del asa senò nn andrà nullaacquistando i 2 asa si avranno problemi co sti benedetti router fastweb? Non sono mai riuscito a capire se sto nat di fastweb dia problemi o meno per fare una vpn (sia site-to-site che client-to-site).
Yesi 2 asa andranno posti tra lo switch ed il router delle 2 sedi e dovranno avere come gw rispettivamente i 2 router??
Sarebbe il topDevono avere 2 ip pubblici anche i 2 asa??
Se nn lo puoi fare tu lo fai fare a fastweb... non so i tempi peròSe i router non sono configurabili come cavolo riescono a permettere il passaggio del traffico ipsec??
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
tester77
- n00b
- Messaggi: 24
- Iscritto il: mer 08 apr , 2009 5:43 pm
Fammi capire se ho capito...intendi qlc del genere da eseguire sull'asa:O fai il nat del ip pubblico del router sul ip della int outside del asa senò nn andrà nulla
ip nat ouside ip_priv_asa ip_pub_router
???
In questo caso non ho bisogno di nat ma faccio puntare l'outside dell'asa direttam. con una rotta statica al router tipo: ip route 0.0.0.0 0.0.0.0 ip_pub_router ??Devono avere 2 ip pubblici anche i 2 asa??
Sarebbe il top
E' esatto quello che ho scritto?
Se nn lo puoi fare tu lo fai fare a fastweb... non so i tempi peròSe i router non sono configurabili come cavolo riescono a permettere il passaggio del traffico ipsec??
Quindi se non sono già aperte le porte per far passare traffico ipsec o le aprono loro da remoto opp. li configuro io se ho l'accesso, giusto???
Cmq grazie infinite per i consigli.
Sergio
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
No, il nat lo devi fare sul router nn sul fw (...)Fammi capire se ho capito...intendi qlc del genere da eseguire sull'asa:
ip nat ouside ip_priv_asa ip_pub_router
???
Bravo!In questo caso non ho bisogno di nat ma faccio puntare l'outside dell'asa direttam. con una rotta statica al router tipo: ip route 0.0.0.0 0.0.0.0 ip_pub_router ??
E' esatto quello che ho scritto?
Ri BravoQuindi se non sono già aperte le porte per far passare traffico ipsec o le aprono loro da remoto opp. li configuro io se ho l'accesso, giusto???
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
