Pagina 1 di 1
Vlan e accessibilità interna/esterna
Inviato: lun 19 ago , 2013 2:19 pm
da lucafrancesca88
Scenario:
Router on a stick con Vlan2 su 10.0.0.0/8 e Vlan3 su 192.168.0.0/24
(lasciando perdere lo spreco di host/network per il momento.)
Una volta configurate le interfaccie sullo switch e le sub-interfaccie sul router e i vari gateway i pc sulle due vlan si parlano.
Ma nel caso volessi usare PAT e uscire su internet con le due vlan indifferentemente e volessi però poter entrare nella vlan1, per azioni di amministrazione, dall'esterno?
E poi, con una ACL, come nego l'accesso oltre a quello autorizzato?
Intanto ci penso ma cmq la lascio anche a voi come domanda
Sciao
Re: Vlan e accessibilità interna/esterna
Inviato: mar 20 ago , 2013 9:11 am
da scolpi
lucafrancesca88 ha scritto:Scenario:
Ma nel caso volessi usare PAT e uscire su internet con le due vlan indifferentemente
Questa è una banalità, il router avrà un' interfaccia dsl immagino, basta che crei un acl che matcha il traffico delle due vlan e lo inserisci nel comanso ip nat inside source list (acl) ecc.
ovviamente le sub interfacce devono essere dichiarate inside e la dialer sarà dichiarata outside.
e volessi però poter entrare nella vlan1, per azioni di amministrazione, dall'esterno?
E poi, con una ACL, come nego l'accesso oltre a quello autorizzato?
Intanto ci penso ma cmq la lascio anche a voi come domanda
Questo mi sa che risulta difficile da implementare perchè il traffico che entra nella vlan 1 e proveniente da internet avrà per sorgente sempre un ip pubblico e quindi, a meno che tu da internet non ti presenti sempre con uno stesso ip, è impossibile con la sola acl. Per limitare comunque l'accesso puoi permettere il traffico da internet verso ip interni solo su determinate porte, ma niente di +, usando poi robuste password sugli host che devi manutenere.
Re: Vlan e accessibilità interna/esterna
Inviato: mar 20 ago , 2013 9:14 am
da lucafrancesca88
scolpi ha scritto:
Questo mi sa che risulta difficile da implementare perchè il traffico che entra nella vlan 1 e proveniente da internet avrà per sorgente sempre un ip pubblico e quindi, a meno che tu da internet non ti presenti sempre con uno stesso ip, è impossibile con la sola acl. Per limitare comunque l'accesso puoi permettere il traffico da internet verso ip interni solo su determinate porte, ma niente di +, usando poi robuste password sugli host che devi manutenere.
Grazie per i consigli
Re: Vlan e accessibilità interna/esterna
Inviato: mar 20 ago , 2013 12:55 pm
da paolomat75
Per l'amministrazione puoi mettere su una VPN.
Paolo
Re: Vlan e accessibilità interna/esterna
Inviato: mar 20 ago , 2013 1:14 pm
da lucafrancesca88
paolomat75 ha scritto:Per l'amministrazione puoi mettere su una VPN.
Paolo
Mmm.. non ho ancora avuto modo di toccarla dall'altro lato del bancone
Re: Vlan e accessibilità interna/esterna
Inviato: mar 20 ago , 2013 6:16 pm
da paolomat75
Quando hai una configurazione più o meno funzionante, e ti serve una mano, buttala su e vediamo di sistemarla.
Paolo