[Linux-Biella] [lungo e complicato] routing selvaggio - mi sto perdendo

[Claudio M.]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

leonardo.buffa a bilug.linux.it ha scritto:
> ciao
> mi sto davvero perdendo e non riesco a immaginare una soluzione
> 
> adesso presento lo scenario magari qualcuno mi aiuta a ragionare
> 
> rete locale: 10.0.0.0/24
> indirizzo remoto su roma da raggiungere: 192.168.1.1/32
> 
> tra la rete locale e roma c'e' una vpn isakmp tra un rutto cisco e un
> checkpoint
> problemi di overlapping con roma ho dovuto nattare sul rutto cisco e mi
> presento con IP 192.168.10.1/32 ogni volta che dalla rete 10.0.0.0/24
> voglio raggiungere 192.168.1.1
> 
> fin qui e' tutto molto semplice
> 
> complichiamo le cose:
> rete treviso: 192.168.100.0/24
> 
> ho una vpn tra treviso e milano, realizzata su due macchine con isakmpd
> 
> visto che il server isakmpd di treviso NON e' il gw di default ho fatto
> aggiungere una rotta a manina dal personale che sta in quell'ufficio, per
> fare in modo che tutto il traffico verso la rete di milano 10.0.0.0 venga
> instradato sul isakmpd
> route add -net 10.0.0.0/24 gw 192.168.100.254 (dove .254 e' l'ip interno
> del server isakmpd di treviso)
> 
> e anche qui tutto funziona egregiamente
> 
> 
> adesso viene il bello: ho bisogno di fare in modo che la gente di treviso
> possa raggiungere quel fantomatico ip 192.168.1.1
> 
> allora che faccio?
> primo passo, faccio conoscere ai client la rotta corretta per raggiungere
> quell'ip
> route add -host 192.168.1.1 gw 192.168.100.254
> 
> adesso pero' dovrei far capire al server isakmpd che deve mandare quel
> tipo di richiesta sulla vpn. secondo me non funzionera' perche':
> 
> 
> - quello specifico IP (192.168.1.1) non c'entra una sega con gli indirizzi
> di questo lato quindi il buon isakmpd qui, in fase2 direbbe: "mbeh?"
> 
> - le macchine di treviso si presenterebbero comunque con indirizzi
> 192.168.100 quindi il cisco dice che non ha voglia di instradare, dovrei
> quindi aggiungere un ip sec (non ipsec) fare nat e acl anche su quello per
> farlo presentare sempre con l'ip 192.168.10.1
> 
> a questo punto mi verrebbe da pensare di dover tirare su un tunnel over
> isakmpd assegnando quindi due indirizzi IP in /30 alle due interfacce dei
> due server cosi' da poter fare un route direttamente dal server isakmpd di
> treviso
> 
> l'alternativa invece potrebbe essere dire ai signori di treviso di
> rassegnarsi e tornare al vecchio sistema cisco concentrator, dove a fronte
> di ogni pc si lancia il client, si piglia quindi un ip locale della rete
> 10.0.0.0 e si e' fisicamente proiettati qui
> soluzione pero' scomoda perche' le politiche di rete talebane qui sono
> molto restrittive e i signori di treviso si trovano male (fascista quello
> che ha disegnato una rete cosi' chiusa!!! ;D)
> 
> qualcuno ha idee in merito?

Andiamo a vendere gelati sulle spiagge di Mauritius??? :)

Bye

- --
Contatto msn: msn a cmaffio.it

L'utilizzo di tastiere o di mouse
puo' causare seri infortuni o disturbi"
(dal manuale della "MS Keyboard Elite for Bluetooth")
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAki2av0ACgkQ1U+MlOCb/GfbDwCbBiQjFHZNI1Rvxx3Z0MZD2sty
jgwAoIajICEu2qFPeKSZV5ab25KQFR4k
=rQ31
-----END PGP SIGNATURE-----