[Linux-Biella] [lungo e complicato] routing selvaggio - mi sto perdendo

[Paul TT]

leonardo.buffa a bilug.linux.it wrote:
> ciao
> mi sto davvero perdendo e non riesco a immaginare una soluzione
>
> adesso presento lo scenario magari qualcuno mi aiuta a ragionare
>
> rete locale: 10.0.0.0/24
> indirizzo remoto su roma da raggiungere: 192.168.1.1/32
>
> tra la rete locale e roma c'e' una vpn isakmp tra un rutto cisco e un
> checkpoint
> problemi di overlapping con roma ho dovuto nattare sul rutto cisco e mi
> presento con IP 192.168.10.1/32 ogni volta che dalla rete 10.0.0.0/24
> voglio raggiungere 192.168.1.1
>
> fin qui e' tutto molto semplice
>
> complichiamo le cose:
> rete treviso: 192.168.100.0/24
>
> ho una vpn tra treviso e milano, realizzata su due macchine con isakmpd
>
> visto che il server isakmpd di treviso NON e' il gw di default ho fatto
> aggiungere una rotta a manina dal personale che sta in quell'ufficio, per
> fare in modo che tutto il traffico verso la rete di milano 10.0.0.0 venga
> instradato sul isakmpd
> route add -net 10.0.0.0/24 gw 192.168.100.254 (dove .254 e' l'ip interno
> del server isakmpd di treviso)
>
> e anche qui tutto funziona egregiamente
>
>
> adesso viene il bello: ho bisogno di fare in modo che la gente di treviso
> possa raggiungere quel fantomatico ip 192.168.1.1
>
> allora che faccio?
> primo passo, faccio conoscere ai client la rotta corretta per raggiungere
> quell'ip
> route add -host 192.168.1.1 gw 192.168.100.254
>
> adesso pero' dovrei far capire al server isakmpd che deve mandare quel
> tipo di richiesta sulla vpn. secondo me non funzionera' perche':
>
>
> - quello specifico IP (192.168.1.1) non c'entra una sega con gli indirizzi
> di questo lato quindi il buon isakmpd qui, in fase2 direbbe: "mbeh?"
>
> - le macchine di treviso si presenterebbero comunque con indirizzi
> 192.168.100 quindi il cisco dice che non ha voglia di instradare, dovrei
> quindi aggiungere un ip sec (non ipsec) fare nat e acl anche su quello per
> farlo presentare sempre con l'ip 192.168.10.1
>
> a questo punto mi verrebbe da pensare di dover tirare su un tunnel over
> isakmpd assegnando quindi due indirizzi IP in /30 alle due interfacce dei
> due server cosi' da poter fare un route direttamente dal server isakmpd di
> treviso
>   
questa e' la prima che ho pensato
> l'alternativa invece potrebbe essere dire ai signori di treviso di
> rassegnarsi e tornare al vecchio sistema cisco concentrator, dove a fronte
> di ogni pc si lancia il client, si piglia quindi un ip locale della rete
> 10.0.0.0 e si e' fisicamente proiettati qui
> soluzione pero' scomoda perche' le politiche di rete talebane qui sono
> molto restrittive e i signori di treviso si trovano male (fascista quello
> che ha disegnato una rete cosi' chiusa!!! ;D)
>
> qualcuno ha idee in merito?
pagando si' ;)
nel senso: e' complicato e ci va un attimo di tempo in piu', ora non lo avanzo.... sorry
magari lunes



-- 
Belin, che vitta du belin, mi g'ho l'öxello pin,
cianin, cianin, porto via o belin...