Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Problema automatizare

Business Developer Manager

Sistem fotovoltaic 5kw off grid
 Repunere minge in teren

Telefon de pe Amazon sau site rom...

Digitalizare in domeniul Horeca

Asigurare la B7 cat mai ajunge?
 cumparare masina inmatriculata in...

Certificat fiscal auto

[CUM] Cum ati fi reactionat in ac...

Credex și altex fara dobanda
 schimbare nume familie copil

Problema mașina de spalat ve...

Ajutor incepator

Preturile https://www.colins.ro/ ...
 

IPsec VPN tunnel

- - - - -
  • Please log in to reply
8 replies to this topic

#1
bobovlad32

bobovlad32

    Junior Member

  • Grup: Members
  • Posts: 43
  • Înscris: 28.07.2008
Salutare,

Am un FortiGate 70D, in care am creat 2 tunele VPN IPsec pentru 2 clienti. Totul bun pana acum.

Recent, am un al 3-lea client care vrea un tunnel VPN. I-am creat tunelul, acesta ramane activ si stabil. Problema e ca traficul nu intra in tunel.
In static routes, unul din clientii vechi mi-a cerut sa ii creez accesul in tunel pentru subnetul 10.0.0.0/16.

Noul client, a venit cu doleanta de a-i creea accesul pentru 10.0.0.0/8. Ceea ce este o retea f mare, globala.

Banuiesc ca aici este problema. Apare un conflict intre cele 2 subneturi /16 si /8. Din ce m-am interesat, trebuie translatat 10.0.0.0/8 si refacut tunelul.


Alte opinii ar fi de mare ajutor.

#2
adid22

adid22

    Member

  • Grup: Members
  • Posts: 790
  • Înscris: 28.12.2005
Salut, ai o problema clasica de overlapping subnets, spune-i clientului sa schimbe subnetul cu ceva mai restrans sau daca chiar nu se poate foloseste ip pool.

#3
bobovlad32

bobovlad32

    Junior Member

  • Grup: Members
  • Posts: 43
  • Înscris: 28.07.2008
Salut.

Multumesc, dar poti sa imi spui si cum sa folosesc ip pool ? Am gasit ceva pe net, dar nu e tocmai situatia cu care ma confrunt...

#4
adid22

adid22

    Member

  • Grup: Members
  • Posts: 790
  • Înscris: 28.12.2005
Ceva detalii aici:

http://kb.fortinet.c...Id=0 0 92580058

Nu inteleg totusi de ce vrea un /8.

#5
bobovlad32

bobovlad32

    Junior Member

  • Grup: Members
  • Posts: 43
  • Înscris: 28.07.2008
Da, nici eu, dar pana se hotareste sa imi dea alte subnets, o sa incerc eu sa ii translatez subnetul.

Documentul atasat vorbeste de translatarea propriilor adrese. Eu vreau sa ii translatez lui subnetul 10.0.0.0/8. Deoarece mai am un client cu un static route creata pe 10.0.0.0/16. Nu asa ar fi mai practic ?

#6
adid22

adid22

    Member

  • Grup: Members
  • Posts: 790
  • Înscris: 28.12.2005

View Postbobovlad32, on 13 octombrie 2016 - 14:32, said:

Da, nici eu, dar pana se hotareste sa imi dea alte subnets, o sa incerc eu sa ii translatez subnetul.

Documentul atasat vorbeste de translatarea propriilor adrese. Eu vreau sa ii translatez lui subnetul 10.0.0.0/8. Deoarece mai am un client cu un static route creata pe 10.0.0.0/16. Nu asa ar fi mai practic ?

Ai dreptate, incearca cu un fw policy pe directia care iti trebuie tie.

#7
bobovlad32

bobovlad32

    Junior Member

  • Grup: Members
  • Posts: 43
  • Înscris: 28.07.2008
Translatarea pica... Clientul nu are si nu doreste NAT activ. "Punct" :)

Ramane sa imi dea el alte subneturi (si sa sper ca nu vor exista conflicte cu alte subneturi deja existente in tunelele mele).

SAU... crearea unui Virtual Domain, ceea ce pt mine este o noutate. Nu pare fizica cuantica dar nici nu gasesc un exemplu care sa se pupe cu situatia mea.


Daca cineva are vreo idee, as fi recunoscator !..

#8
bobovlad32

bobovlad32

    Junior Member

  • Grup: Members
  • Posts: 43
  • Înscris: 28.07.2008
So... l-am convins sa imi dea subneturi mai mici. Asta a rezolvat problema.

Sfat: Daca aveti un client ca al meu, solutiile sunt urmatoarele, in ordine, ca si eficienta:

1. Obtineti subneturi mai mici
2. Creati un VDOM pentru clientul in cauza (firewallurile FGT pot sustine pana la 10 VDOMs)
3. Sa isi translateze singur reteaua (pregatiti-va pt eventuale nemultumiri ca il puneti la treaba)
4. Sa ii translatati voi reteaua (dar aveti nevoie de o clasa de IP uri disponibile)

Succes!

#9
sonnydellmarco

sonnydellmarco

    Active Member

  • Grup: Members
  • Posts: 1,839
  • Înscris: 17.10.2006
Salut. Nu stiu daca VDOM-urile ajuta. Toti 3 clienti acceseaza acelasi subnet de la voi din retea? Sau un anumit IP?

View Postadid22, on 13 octombrie 2016 - 14:26, said:

Nu inteleg totusi de ce vrea un /8.

Crede-ma: de lene :)

Anunturi

Neurochirurgie minim invazivă Neurochirurgie minim invazivă

"Primum non nocere" este ideea ce a deschis drumul medicinei spre minim invaziv.

Avansul tehnologic extraordinar din ultimele decenii a permis dezvoltarea tuturor domeniilor medicinei. Microscopul operator, neuronavigația, tehnicile anestezice avansate permit intervenții chirurgicale tot mai precise, tot mai sigure. Neurochirurgia minim invazivă, sau prin "gaura cheii", oferă pacienților posibilitatea de a se opera cu riscuri minime, fie ele neurologice, infecțioase, medicale sau estetice.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate