Home / VPN IPSEC / Come instaurare un tunnel IPSEC tra due sedi con la stessa Network in

Come instaurare un tunnel IPSEC tra due sedi con la stessa Network in

In caso dovessimo configurare una VPN IPSEC tra due sedi in cui abbiamo la stessa Netwrok_in dobbiamo seguire questa procedura in modo da permettere la connessione e lo scambio di dati tra le due sedi senza modificare nulla nella configurazione di rete dei due Firewall.
L'opzione che ci dà la possibilità di creare un tunnel ipsec senza modificare niente è NAT before VPN 
Facciamo ora un esempio su come bisogna configurare i FW in questi casi.
  1. Supponiamo di avere una rete così:
  2. Come possiamo vedere le Network_in di entrambi i FW sono 192.168.18.0/24 quindi sarebbe impossibile farle comunicare tra loro.
  3. Andiamo su entrambi i FW e creiamo due oggetti di tipo network:
    1. virtual_netA=172.17.18.0/24
    2. virtual_netB=172.17.17.0/24
  4. Ora andiamo sul FW_A e creiamo le seguenti regole di filtro per permettere il traffico tra le due sedi nel tunnel VPN
  5. Sempre sul FW_A creiamo le seguenti regole di NAT riconrdandoci di attivare l'opzione NAT before VPN
  6. Ora ci spostiamo sul FW_B e creiamo le seguenti regole di filtro per permettre il traffico tra le due sedi nel tunnel VPN
  7. Sempre sul FW_B creiamo le seguenti regole di NAT riconrdandoci di attivare l'opzione NAT before VPN
  8. Torniamo sul FW_A e andiamo nel menù della VPN IPSEC e dopo aver creato il peer verso il FW_B ci spostiamo nella sezione ENCRYPTION POLICY - TUNNEL configurando il site to site gateway così(nell'esempio il peer si chiama Site_U701):
  9. Spostiamoci sul FW_B e andiamo nel menù della VPN IPSEC e dopo avere creato il peer verso il FW_A ci spostiamo nella sezione ENCRYPTION POLICY - TUNNEL configurando ilsite to site gateway così(nell'esempio il peer si chiama Site_U2501):                                                                                                                                                                                                                                                                         
  10. Dopo aver attivato gli slot della VPN su entrambi i FW possiamo effettuare dei test tenendo presente che:
    1. quando dalla Network_in del FW_A devo raggiungere la Network_in del FW_B dovrò cercare 172.17.17.XX
    2. quando dalla Network_in del FW_B devo raggiungere la Network_in del FW_A dovrò cercare 172.17.18.XX

Praticamente le regole di NAT che abbiamo creato effettuano un MAP 1 a 1 tra la Network_in e la sua rispettiva Network virtuale quindi se abbiamo un server con directory condivise nellaNetwork_in del FW_A con indirizzo 192.168.18.200 il suo ip virtuale per i client della Network_in del FW_B sarà 172.17.18.200.

    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: marco.genovese   Version: 3.0   Last Edited By: Netwhat   Modified: 15 Oct 2012