Re: [ml] Gestione di N VPN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2004 ml@sikurezza.org
Soggetto: Re: [ml] Gestione di N VPN
Mittente: Synchopate
Data: Fri,  3 Dec 2004 00:16:10 +0100 (CET)

Cerca su google come funziona il policy routing... In pratica, nel tuo caso
ti dà la possibilità di impostare la destinazione del pacchetto anche in
base all'ip sorgente.
Dall'esempio che facevo prima

>Regole FW2
>Tutto con ip srcip=virtuale1 e dstip=cliente1 viene policyroutato verso il
>tunnel VPN1 Masq e DestinationNAT verso il server interessato.
>Tutto con ip srcip=virtuale2 e dstip=cliente2 viene policyroutato verso il
>tunnel VPN2 Masq e DestinationNAT verso il server interessato.

in pratica dovresti (sul secondo FW) digitare questi comandi una cosa del
genere:(uso due fire perchè sia più semplice da capire)
{

ip ru add from "srcip" lookup 6
ip ro add "dstip" via "tunnelVPN" table 6
}

Quindi alla tua domanda di come capisce se due ip di dest sono uguali dove
andare la risposta è:
in base all'ip sorgente.

ByeZ
----- Original Message ----- 
From: "Riccardo Ghiglianovich" <riccardo@xxxxxxxxxxxxxxxx>
To: <ml@xxxxxxxxxxxxx>
Sent: Wednesday, December 01, 2004 11:56 AM
Subject: Re: [ml] Gestione di N VPN


Il giorno 01/dic/04, alle 00:20, Synchopate ha scritto:
>
> Regole FW1
> Tutto il traffico diretto verso l'ip (pubblico) del  cliente 1 verrà
> mascherato dietro un ip virtuale1 del FW1
> Tutto il traffico diretto verso l'ip (pubblico) del  cliente 2 verrà
> mascherato dietro un ip virtuale2 del FW2
In realtà, avevo pensato una cosa simile(da attuare con un solo FW,
tutto l'ambaradam dovrebbe andare lo stesso...): attribuire ad ogni
cliente un indirizzo IP sulla MIa lan, da nattare a quello effettivo,
Insomma  questa parta qui si puo risolvere in vari modi piu o meno
semplici,
>
> Regole FW2
> Tutto con ip srcip=virtuale1 e dstip=cliente1 viene policyroutato
> verso il
> tunnel VPN1 Masq e DestinationNAT verso il server interessato.

E' questa parte qui che mi manca, quello che tu chiami policyrouting
eccetera, suppongo.
Facciamo un esempio:
ipsec mi fa configurare una cosa del tipo:


conn VPN1
         left=[il mio ip pubblico]
         leftnexthop=%defaultroute
         leftsubnet=[la mia rete privata]/[la mia subnet]
         right=[ip pubblico del remoto]
         rightsubnet=[ip privato remoto  che devo raggiungere]/32
         rightnexthop=%defaultroute
[...]
ok?

Ora, se (per caso) su due conn diverse ho rightsubnet=[ip privato
remoto  che devo raggiungere]/32  identiche, come fa ipsec a
determinare quale deve imboccare?
Ciao,
Grazie,
RIc

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: [ml] Gestione di N VPN, Riccardo Ghiglianovich

Data:
- precedente: Re: [ml] Smartcard & Co., Claudio
- successivo: Re: [ml] Info su aziende e centri di ricerca sulla sicurezzainformatica, Giss
- indice

Argomento:
- precedente: Re: [ml] Gestione di N VPN, Riccardo Ghiglianovich
- successivo: [ml] Re: Centri di sicurezza informatica in Piemonte, borzoi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005