Gostaria de configurar um túnel VPN IPSec site-a-site entre uma matriz e uma filial e por motivos políticos / de segurança, com o único propósito de acessar uma sub-rede "Gerenciamento" na filial, não sua LAN principal.
Nenhuma das NICs nesta VLAN / sub-rede de "gerenciamento" tem um gateway padrão: esses dispositivos que precisam ser gerenciados são multi-homed e "straddle" em ambas as redes e porque exigem acesso à Internet através da LAN VLAN / sub-rede, a NIC que está na LAN VLAN / sub-rede tem um gateway padrão definido como 10.0.0.1; as NICs MGMT não possuem um gateway padrão.
Como não há gateway padrão nesses NICs, presumo que terei que configurar uma VPN em ponte em comparação a uma VPN roteada, para que minhas máquinas HQ LAN tenham um VPN IP na rede do MGMT (digamos 10.1. 1,254 / 24). Estou assumindo que esses dispositivos não suportam rotas estáticas (alguns deles são aparelhos com configuração de rede limitada).
Tenho certeza de que é assim que sua configuração típica do Microsoft RRAS PPTP funciona quando você disca através do cliente VPN de uma estação de trabalho XP, mas isso pode funcionar para várias máquinas no HQ? Eu estou supondo que cada máquina HQ seria SNATing por trás desse IP VPN de 10.1.1.254? O Cisco ASA 5505 suporta isso? Eu não quero permitir qualquer tráfego de volta através do túnel para a LAN do HQ.
EDITAR Provavelmente vou configurar um pequeno domínio de broadcast em uma MGMT VLAN isolada no lado HQ para minimizar todo esse tráfego ARP / broadcast passando pelo túnel.
[HQ]
LAN: 192.168.0.0/24
GW (Cisco ASA 5505): 192.168.0.1
[Branch]
"LAN" VLAN/subnet: 10.0.0.0/24 GW (fe0 10.0.0.1/24)
"MGMT" VLAN/subnet: 10.1.1.0/24 (fe1 10.1.1.0/24)
Tags cisco bridge site-to-site-vpn