Pagina 1 di 1
VPN & NAT
Inviato: ven 17 apr , 2009 12:05 pm
da SocciO
ciao a tutti!
ho realizzato una vpn site to site tra un cisco (che sarà un centro stella per altre vpn) e un'altra sede periferica
Chiaramente la sede centrale (centro stella) e quelle periferiche hanno piani di indirizzamento diversi.
Ora, a causa di un applicativo che sta nella sede centrale, le richieste da e per le sedi periferiche devono essere viste come generate/indirizzate verso IP della stessa rete della sede centrale.
E' sufficiente fare delle regole di NAT statiche?
La crypto map che seleziona il traffico da inviare sulla VPN dovrà essere fatta sull'indirizzo locale nattato o su quello remoto?
CIAO!!
Inviato: lun 20 apr , 2009 11:51 am
da Wizard
Nn ho capito perchè dovresti fare nat...
Nat di cosa?
Inviato: lun 20 apr , 2009 3:42 pm
da SocciO
mi spiego meglio
sito centrale : a.a.a.a
sito periferico : b.b.b.b
voglio che un applicativo sulla rete a.a.a.a possa raggiungere una macchina sulla rete b.b.b.b tramite VPN. Il problema è che l'applicativo in questione può comunicare solo con macchine aventi IP della sua stessa sottorete, quindi della rete a.a.a.a
Pensavo quindi di nattare un indirizzo della rete a.a.a.a con la macchina target della rete b.b.b.b. In questo modo il pacchetto sarebbe stato nattato e inviato sulla VPN con l'indirizzo di destinazione della rete b.b.b.b
Ho provato ma non funziona....hai qualche altra idea?
Grazie!
Inviato: lun 20 apr , 2009 4:25 pm
da Wizard
Ok capito, fallo sul fw della sede B però
Inviato: lun 20 apr , 2009 5:17 pm
da SocciO
purtroppo sul sito periferico non c'è possibilità...è un router di fascia bassa e so solo io quello che ho dovuto fare per far funzionare la VPN!!
comunque, ho visto che il router cisco processa prima le regole di NAT e poi le ACL (quindi anche quella della crypto map), e ho quindi aggiunto al router della sede centrale:
ip nat inside source static 10.41.171.42 192.168.5.100
ip nat outside source static 192.168.5.100 10.41.171.42
la rete 10.... è della sede centrale, la 192.... della sede periferica
ora dalla sede centrale a quella periferica tutto ok se pingo il 10.41.171.42
dalla sede periferica non riesco a pingare la sede centrale (ad esempio l'indirizzo 10.41.171.41)
regole di firewall tutto ok...cosa può essere?
Inviato: lun 20 apr , 2009 6:01 pm
da SocciO
ho cambiato il nat...ho invertito gli indirizzi IP...sembra che qualcosa si muovi...ma sono l'unico a non capirci nulla con INSIDE LOCAL, GLOBAL ecc??
Inviato: lun 20 apr , 2009 9:54 pm
da Wizard
Frena frena...
Es:
Rete A: 192.168.1.0/24
Rete B: 192.168.2.0/24
Applicativo: 192.168.2.10
Applicativo accetta connessioni solo dalla rete B
OK, è tardi e sn stanco quindi potrei dire una caxxata però direi che la unica cosa sicura che puoi fare x far funzionare il tutto è:
nat 1:1 o pat sul router della sede A solo quando vai verso la rete B (policy nat).
Attento però. devi usare ip di nat nn presenti nella rete B senò nn andrà nulla!
Inviato: mar 21 apr , 2009 7:06 am
da SocciO
grazie mille per la disponibilità wizard
premetto che sul router della rete A non si può mettere mano!
per quanto riguarda il NAT, come ho scritto sopra, ci ho provato
ho fatto una cosa del tipo
Rete A: 192.168.1.0/24
Rete B: 192.168.2.0/24
Applicativo: 192.168.2.10
su router in rete B
nat inside source static 192.168.2.42 192.168.1.100
interpretandolo come: "le richieste verso 192.168.2.42 nattale con il 192.168.1.100"
riflettendoci però ho capito che il nat in questione modifica l'IP sorgente, non il destinazione, quindi il tutto va reinterpretato come: "le richieste che partono da 192.168.2.42 nattale e falle comparire come se provenissero da 192.168.1.100"
è giusta questa riflessione?
Inviato: mer 22 apr , 2009 11:26 am
da Wizard
Ancora meglio se lo fai sul router B però fatto così è errato
Devi fare:
nat outisde ...