[Linux-Biella] [lungo e complicato] routing selvaggio - mi sto perdendo
leonardo.buffa a bilug.linux.it
leonardo.buffa a bilug.linux.it
Gio 28 Ago 2008 10:55:26 CEST
ciao
mi sto davvero perdendo e non riesco a immaginare una soluzione
adesso presento lo scenario magari qualcuno mi aiuta a ragionare
rete locale: 10.0.0.0/24
indirizzo remoto su roma da raggiungere: 192.168.1.1/32
tra la rete locale e roma c'e' una vpn isakmp tra un rutto cisco e un
checkpoint
problemi di overlapping con roma ho dovuto nattare sul rutto cisco e mi
presento con IP 192.168.10.1/32 ogni volta che dalla rete 10.0.0.0/24
voglio raggiungere 192.168.1.1
fin qui e' tutto molto semplice
complichiamo le cose:
rete treviso: 192.168.100.0/24
ho una vpn tra treviso e milano, realizzata su due macchine con isakmpd
visto che il server isakmpd di treviso NON e' il gw di default ho fatto
aggiungere una rotta a manina dal personale che sta in quell'ufficio, per
fare in modo che tutto il traffico verso la rete di milano 10.0.0.0 venga
instradato sul isakmpd
route add -net 10.0.0.0/24 gw 192.168.100.254 (dove .254 e' l'ip interno
del server isakmpd di treviso)
e anche qui tutto funziona egregiamente
adesso viene il bello: ho bisogno di fare in modo che la gente di treviso
possa raggiungere quel fantomatico ip 192.168.1.1
allora che faccio?
primo passo, faccio conoscere ai client la rotta corretta per raggiungere
quell'ip
route add -host 192.168.1.1 gw 192.168.100.254
adesso pero' dovrei far capire al server isakmpd che deve mandare quel
tipo di richiesta sulla vpn. secondo me non funzionera' perche':
- quello specifico IP (192.168.1.1) non c'entra una sega con gli indirizzi
di questo lato quindi il buon isakmpd qui, in fase2 direbbe: "mbeh?"
- le macchine di treviso si presenterebbero comunque con indirizzi
192.168.100 quindi il cisco dice che non ha voglia di instradare, dovrei
quindi aggiungere un ip sec (non ipsec) fare nat e acl anche su quello per
farlo presentare sempre con l'ip 192.168.10.1
a questo punto mi verrebbe da pensare di dover tirare su un tunnel over
isakmpd assegnando quindi due indirizzi IP in /30 alle due interfacce dei
due server cosi' da poter fare un route direttamente dal server isakmpd di
treviso
l'alternativa invece potrebbe essere dire ai signori di treviso di
rassegnarsi e tornare al vecchio sistema cisco concentrator, dove a fronte
di ogni pc si lancia il client, si piglia quindi un ip locale della rete
10.0.0.0 e si e' fisicamente proiettati qui
soluzione pero' scomoda perche' le politiche di rete talebane qui sono
molto restrittive e i signori di treviso si trovano male (fascista quello
che ha disegnato una rete cosi' chiusa!!! ;D)
qualcuno ha idee in merito?
ciao, leo
Maggiori informazioni sulla lista
Linux