IPsec VPN tunnel
Last Updated: Jan 01 2017 03:06, Started by
bobovlad32
, Oct 13 2016 09:30
·
0
#1
Posted 13 October 2016 - 09:30
Salutare,
Am un FortiGate 70D, in care am creat 2 tunele VPN IPsec pentru 2 clienti. Totul bun pana acum. Recent, am un al 3-lea client care vrea un tunnel VPN. I-am creat tunelul, acesta ramane activ si stabil. Problema e ca traficul nu intra in tunel. In static routes, unul din clientii vechi mi-a cerut sa ii creez accesul in tunel pentru subnetul 10.0.0.0/16. Noul client, a venit cu doleanta de a-i creea accesul pentru 10.0.0.0/8. Ceea ce este o retea f mare, globala. Banuiesc ca aici este problema. Apare un conflict intre cele 2 subneturi /16 si /8. Din ce m-am interesat, trebuie translatat 10.0.0.0/8 si refacut tunelul. Alte opinii ar fi de mare ajutor. |
#2
Posted 13 October 2016 - 10:20
Salut, ai o problema clasica de overlapping subnets, spune-i clientului sa schimbe subnetul cu ceva mai restrans sau daca chiar nu se poate foloseste ip pool.
|
#3
Posted 13 October 2016 - 14:02
Salut.
Multumesc, dar poti sa imi spui si cum sa folosesc ip pool ? Am gasit ceva pe net, dar nu e tocmai situatia cu care ma confrunt... |
#4
Posted 13 October 2016 - 14:26
#5
Posted 13 October 2016 - 14:32
Da, nici eu, dar pana se hotareste sa imi dea alte subnets, o sa incerc eu sa ii translatez subnetul.
Documentul atasat vorbeste de translatarea propriilor adrese. Eu vreau sa ii translatez lui subnetul 10.0.0.0/8. Deoarece mai am un client cu un static route creata pe 10.0.0.0/16. Nu asa ar fi mai practic ? |
#6
Posted 13 October 2016 - 14:46
bobovlad32, on 13 octombrie 2016 - 14:32, said:
Da, nici eu, dar pana se hotareste sa imi dea alte subnets, o sa incerc eu sa ii translatez subnetul. Documentul atasat vorbeste de translatarea propriilor adrese. Eu vreau sa ii translatez lui subnetul 10.0.0.0/8. Deoarece mai am un client cu un static route creata pe 10.0.0.0/16. Nu asa ar fi mai practic ? Ai dreptate, incearca cu un fw policy pe directia care iti trebuie tie. |
#7
Posted 16 October 2016 - 19:45
Translatarea pica... Clientul nu are si nu doreste NAT activ. "Punct"
Ramane sa imi dea el alte subneturi (si sa sper ca nu vor exista conflicte cu alte subneturi deja existente in tunelele mele). SAU... crearea unui Virtual Domain, ceea ce pt mine este o noutate. Nu pare fizica cuantica dar nici nu gasesc un exemplu care sa se pupe cu situatia mea. Daca cineva are vreo idee, as fi recunoscator !.. |
#8
Posted 18 October 2016 - 11:22
So... l-am convins sa imi dea subneturi mai mici. Asta a rezolvat problema.
Sfat: Daca aveti un client ca al meu, solutiile sunt urmatoarele, in ordine, ca si eficienta: 1. Obtineti subneturi mai mici 2. Creati un VDOM pentru clientul in cauza (firewallurile FGT pot sustine pana la 10 VDOMs) 3. Sa isi translateze singur reteaua (pregatiti-va pt eventuale nemultumiri ca il puneti la treaba) 4. Sa ii translatati voi reteaua (dar aveti nevoie de o clasa de IP uri disponibile) Succes! |
#9
Posted 01 January 2017 - 03:06
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users