Tradução do endereço VPN LAN2LAN da Netgear

2

Aqui está minha pergunta:

Eu configurei uma VPN LAN2LAN IPsec (ou site2site) com os seguintes parâmetros:

sub-rede local: 10.178.51.64/27
sub-rede remota: 10.174.0.0/16

O túnel vpn aparece corretamente, mas o problema é que não consigo fazer ping ou enviar dados para as máquinas de sub-redes remotas.

Isso porque minha sub-rede 'real' é 192.168.1.0/24, mas meu parceiro quer que eu conecte com a sub-rede especificada. Não consigo alterar minha sub-rede, posso obter essa conexão com o meu roteador, que é um firewall VPN NETSAR ProSafe FVS338?

Obrigado antecipadamente

    
por 0wn3r 21.12.2012 / 14:43

3 respostas

1

Para que um túnel VPN site2site funcione corretamente, você normalmente tem duas opções para configurar o túnel.

Primeiro, é baseado em rotas. Você cria o túnel entre duas interfaces WAN e, em seguida, configura rotas no firewall que dizem "para chegar a essa sub-rede LAN sair do túnel". Normalmente, você também precisa especificar uma política em cada extremidade, mas apenas uma política ALLOW entre as duas sub-redes.

O segundo é baseado em políticas. Você cria o túnel entre duas interfaces WAN, mas em vez de configurar novas rotas, você configura políticas e informa a política para TUNNEL através desse novo túnel VPN que você criou ao enviar tráfego para essas duas sub-redes.

Tudo o que disse, no seu caso, se você está especificando sub-redes locais e remotas, essas sub-redes locais e remotas terão que ser as sub-redes reais que serão roteadas / usadas (no seu caso, o 192.168.1.0/24), caso contrário, você terá que fazer alguma tradução do seu lado com a mudança NAT, qualquer que seja a sua sub-rede na questão (a 10.x) para se tornar 192.x internamente, basicamente, double-NATing, o que é complicado.

Meu conselho é entrar em contato com seu parceiro e explicar isso e descobrir por que eles não querem que você use 192.168.1.0/24 como sua sub-rede. Talvez eles tenham outra sub-rede local nesse intervalo, etc.

Na prática, você não deveria estar usando essa sub-rede. Use uma sub-rede de LAN privada diferente ... essa apenas lhe dará dores de cabeça com as redes domésticas das pessoas quando se trata de dividir o tunelamento, etc.

    
por 21.12.2012 / 16:45
1

Sua resposta realmente depende do tipo de dispositivo de rede em cada lado e do que a sub-rede remota realmente é.

A "lógica" do seu túnel deve ser a seguinte (independentemente do fornecedor de rede):

  1. O túnel é configurado entre dois IPs da WAN do roteador
  2. O túnel é configurado em ambos os lados para saber quais sub-redes LAN locais e sub-redes LAN remotas devem ser roteadas entre o túnel. Normalmente, essa não é a sub-rede WAN IP, mas são sub-redes LAN dentro do roteador / firewall. Isso pode ser feito por meio de vários métodos, como roteamento ou roteamento baseado em política ou políticas simples de encapsulamento. Tudo depende do seu método de ataque e depende realmente do hardware de rede que você usa.

A resolução de problemas pode consistir em ping de ambos os lados junto com comandos de depuração em execução nos próprios roteadores / firewalls para ver onde o tráfego está parando, além de garantir que o próprio túnel apareça (novamente os comandos dependem do hardware usado e das opções IKE ).

Se você estiver completamente perdido, sugiro postar um diagrama de rede junto com o hardware usado nos dois lados. Isso ajudaria alguém aqui a responder a pergunta. No entanto, se você tiver suporte com seu fornecedor de rede e precisar desta operação o mais cedo possível, sugiro que entre em contato com eles e faça com que eles se conectem com você e percorra as configurações.

    
por 08.01.2013 / 16:08
0

Obrigado TheCleaner pela sua resposta, isso é muito bom, mas quero postar minha própria resposta porque resolvi isso e quero compartilhar a solução.

Preâmbulo: A vpn é definida por políticas.

Meu firewall não é da Cisco, mas é um netgear (é péssimo :) a propósito, configurar um IPSEC lan2lan da vpn com esse tipo de roteador semi-profissional pode ser muito bem pensado.
Como eu disse meu parceiro me disse: você tem que subir no túnel com a sub-rede 10.178.51.64/27 e isso é obrigatório, não posso ajudá-lo de alguma forma. Bem, a única solução com o NETGEAR ProSafe VPN Firewall FVS338 é definir sua sub-rede LAN como o mesmo da sub-rede local das políticas vpn. Então eu apenas configurei minha LAN como 10.178.51.64 com a máscara 255.255.255.0 e funcionou como um encanto.

Se eu tivesse um roteador profissional como um Cisco, poderia definir algumas regras para traduzir o IP de algumas sub-redes, como meu parceiro me disse. exemplo: 192.168.1.2 - > 10.178.51.65
Infelizmente isso não é possível com meu roteador / firewall, então a única chance de resolver isso foi mudar minha sub-rede LAN.

    
por 08.01.2013 / 17:16

Tags