Home / VPN IPSEC / Come instradare il traffico proxato all'interno di un tunnel ipsec

Come instradare il traffico proxato all'interno di un tunnel ipsec

In alcuni casi, ad esempio quando abbiamo configurato un tunnel ipsec per instradare tutto il traffico (vedi articolo Come instradare tutto il traffico di una sede remota all'interno di un tunnel IPSEC) potremmo avere la necessità di abilitare il proxy(SMTP, HTTP, FTP, SSL) e instradare all'interno del tunnel anche il traffico proxato.
Normalmente quando il traffico entra nel proxy viene inviato al server di destinazione usando l'ip relativo all'interfaccia del FW dove c'e' il gateway che ci permette di raggiungere quella destinazione.

Per il motivo descritto sopra quindi, se attiviamo qualsiasi proxy, non riusciremo ad instradare il traffico proxato all'interno del tunnel ipsec perchè l'ip sorgente non sarà più un'ip della Network_in (poniamo caso di avere come Local Network questo valore all'interno delle nostre Encryption policy) ma sarà l'ip della Firewall_out.
Per risolvere questo problema quindi dobbiamo effettuare due modifiche alla configurazione:
  1. Far sì che il proxy inizi la connessione verso il server con un ip che fa parte della netowrk dichiarata nelle Encryption Policy.
    Per effettuare questa modifica ecco i passi da seguire:
    • identificare il profilo di Outgoing, nella config di default è lo 01 (se non sappiamo come fare clicchiamo qui)
    • una volta identificato il profilo di outgoing lanciamo questo comando da ssh sostituendo al posto di XX il numero del profilo di outgoing:
      setconf /usr/Firewall/ConfigFiles/Protocols/http/XX Proxy BindAddr Firewall_in
    • grazie al comando lanciato sopra andiamo a dire al proxy che dovrà usare l'ip della Firewall_in(in questo esempio poniamo di avere messo nelle encruyption policy dell'ipsec la Network_in) quando inizierà una connessione verso il server web di destinazione
    • per attivare la modifica dobbiamo lanciare, sempre da ssh, il comando enproxy

  2. Evitare che il traffico diretto verso l'ip 127.0.0.2(ip su cui c'e' in ascolto il demone del proxy) venga inviato nel tunnel al posto che all'interfaccia di loopback del FW:
    • andare sotto VPN IPSec VPN ENCRYPTION POLICY – TUNNEL e selezionare SITE-TO-SITE (GATEWAY-GATEWAY)
    • cliccare su Add  scegliare Site-to-site Tunnel e inserire i seguenti valori
      • Local Network Network_in (se il tunnel ipsec è stato creato per instradare tutto il traffico della Network_in nel tunnel)
      • Peer selection None
      • Remote Network firewallloopback2 (questo è un oggetto di tipo host che noi dobbiamo creare al quale daremo come ip 127.0.0.2)
    • assicuriamoci di mettere questa regola al primo posto quindi spegniamo e attiviamo lo slot VPN (non basta riattivare per inserire questa particolare policy con peer None)
    • ecco qui come si presenteranno le nostre Encryption policy



    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: Netwhat   Version: 1.0   Last Edited By: Netwhat   Modified: 11 Dec 2012