VPN L2L Cisco-Watchguard su stessa subnet

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
TCons
n00b
Messaggi: 2
Iscritto il: ven 12 mar , 2010 7:06 pm

Ciao a tutti,

ho un problema con la creazione di una VPN Lan-to-Lan fra un Cisco 850 (12.4) e un Watchguard (11.1). Il problema è che devo nattare le due VPN visto che, sul lato Watchguard, la subnet con cui si presenterebbe il Cisco è già occupata da un'altra VPN. La VPN, per la cronaca, viene creata senza problemi e risulta sia sul Watchguard che su Cisco ("sh crypto isakmp sa" restituisce la VPN connessa correttamente) ma le due parti del tunnel non riescono a dialogare fra loro.
La situazione è questa:

LAN1 = Lato Cisco
LAN1 indirizzo privato = 192.168.1.0/24
LAN1 indirizzo nattato = 192.168.3.0/24
LAN1 indirizzo pubblico = 88.40.abc.def

LAN2 = Lato Watchguard
LAN2 indirizzo privato = 192.168.0.0/24
LAN2 indirizzo nattato = 192.168.4.0/24
LAN2 indirizzo pubblico = 88.57.ghi.jkl

Questa è, tagliando via il superfluo, la configurazione del Cisco:

Codice: Seleziona tutto

crypto isakmp policy 20
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key XXXXXXXXXXX address 88.57.ghi.jkl
crypto isakmp keepalive 20 5
crypto isakmp aggressive-mode disable
!
crypto ipsec transform-set LAN2LANSET esp-3des esp-sha-hmac
!
crypto map LANTOLANMAP 20 ipsec-isakmp
 set peer 88.57.ghi.jkl
 set transform-set LAN2LANSET
 match address 120
!
no ip source-route
no ip gratuitous-arps
!
ip cef
no ip domain lookup
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 88.40.abc.def 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5snap
 !
 crypto map LANTOLANMAP
!
interface Vlan1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map NONAT interface ATM0.1 overload
!
access-list 110 deny   ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
route-map NONAT permit 10
match ip address 110
In questo modo la rete LAN1 riesce ad andare su Internet ma NON riesce a passare dal tunnel (perché manca, presumo, il nat della rete locale). Se, però, aggiungo questo

Codice: Seleziona tutto

ip nat inside source static network 192.168.1.0 192.168.3.0 /24 no-alias
riesco a passare dal tunnel ma Internet viene bloccata (perché presumo venga instradato tutto il traffico all'interno del tunnel).
C'è un modo per risolvere questa situazione che non comprenda l'acquisto di altro hardware o il cambio delle sottoreti?
Chiedo troppo? :)


Buon fine settimana a tutti!
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Ma ti obbligano a presentarti sulla VPN con subnet 192.168.3.0 ?
Perche' dallo starlcio mi sembra che il traffico non venga proprio instradato verso la VPN...
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Rispondi

Torna a “VPN”