Re: VPN e Routing

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2004 ml@sikurezza.org
Soggetto: Re: VPN e Routing
Mittente: Gelpi Andrea
Data: 19 Apr 2004 03:51:47 -0000

Il gio, 2004-04-08 alle 23:29, luigitessitore@xxxxxx ha scritto:
> Salve a tutti,
> io ho un problema che mi assilla da un paio di giorni.
> La mia situazione è questa: ho due sedi (A e B) dotate di due sottoreti
> private (192.168.1.0/27 per A e 192.168.2.0/27 per B) ed interconnesse mediante
> ipSec con una VPN. Il tutto funziona egregiamente: posso pingare da A a
> B e viceversa senza problema. 
> 
> A questo punto la cosa si complica, in quanto il security gateway della
> sede A è connesso a due router e ha delle regole che consentono di smistare
> il traffico proveniente dalla sottorete (192.168.1.0/27) in base all'IP
> di destinazione (delle  semplici route statiche). 
> 
> Ora, io avrei la necessità di poter assoggettare alle suddette regole di
> routing anche i PC della sottorete B (192.168.2.0/27).
> 
> Quindi, nella rete B io posso avere questa situazione:
> a) pacchetti diretti verso la rete B: vengono instradati direttamente
> b) pacchetti diretti verso Internet: escono con il default gateway di B
> c) pacchetti diretti verso A: vengono "instradati" verso l'interfaccia ipsec0
> d) pacchetti diretti verso indirizzi IP "particolari": --> ????
> 
> A rigor di logica, il caso d) dovrebbe essere processato come segue:
> 1) intercettazione degli IP che devono essere instradati con un altro router;
> 2) invio dei pacchetti mediante IPSec nella rete A
> 3) processo dei pacchetti secondo le regole di routing del Secure Gateway
> A (che quindi provvederà ad instradarli verso il secondo router;
> 
> Inutile dire che ho fatto svariate prove "a naso"... ma chiedo a voi a questo
> punto se la cosa è fattibile, se quanto sopra supposto è corretto, se secondo
> voi si tratta solo di impostare delle regole di routing oppure occorre "scomodare"
> prerouting/postrouting di iptables...
> 

Ho una situazione simile alla tua.
Io instrado con una regola di route in cui dico che gli IP "particolari"
sono raggiungibili tramite l'intefaccia ipsec0 e IP di gateway quello
del router.
L'unico caso che mi viene in mente in cui questa situazione potrebbe non
funzionare e se parti o arrivi dal PC su cui parte o arriva la VPN.
In questo caso io ho risolto scomodando iptables facendo un apposito nat
verso l'interfaccia di rete lan anzichè quella esterna dove c'è la VPN.
In altre parole ho fatto in modo che il pacchetto parta da
un'interfaccia diversa da quella su cui è appoggiata la VPN.

-- 
Gelpi ing. Andrea
*************************
Landmines must be stopped
*************************


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- VPN e Routing, luigitessitore

Data:
- precedente: Re: Internet banking security hole, Damiano Bolzoni
- successivo: Re: R: Internet banking security hole, Damiano Bolzoni
- indice

Argomento:
- precedente: VPN e Routing, luigitessitore
- successivo: GPG, Walter Valenti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005