Cześć,
EDIT: Coś nie renderuje obrazka
https://imagizer.imageshack.com/v2/1024 ... ne8vjg.jpg
Czy da się na pojedynczym pudełku Palo Alto skonfigurować 2+ klientów, którzy mają taką samą adresację IP ? Podstawowym założeniem, jest to, że klient nie robi żadnego NATa po swojej stronie tunelu IPSEC. Jedyny NAT jaki możemy zrobić to po naszej stronie tunelu.
Jedyne co przychodzi mi do głowy, a czego nie mogę przetestować na AWSie to Virtual Systems, gdzie mógłbym każdego klienta wrzucić do osobnego vsysa i natować w tymże.
Komentarze ekspertów PA mile widziane
Dzięki!
Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP
Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP
Hej,
pewnie ze możesz. Po swojej stronie (hub) zrob dual NAT i nadaj każdemu klientowi "unikatowy" subnet który zamaskuje jego prawdziwa podsiec.
Nie do końca rozumiem idee z Virtual Systems. Jeśli dobrze sobie to wyobrażam to stracisz komunikacje pomiędzy klientem 1 i klientem 2.. no chyba ze masz jakies router-on-a-stick za firewallem który Ci zroutuje ten ruch jakos razem
pewnie ze możesz. Po swojej stronie (hub) zrob dual NAT i nadaj każdemu klientowi "unikatowy" subnet który zamaskuje jego prawdziwa podsiec.
Nie do końca rozumiem idee z Virtual Systems. Jeśli dobrze sobie to wyobrażam to stracisz komunikacje pomiędzy klientem 1 i klientem 2.. no chyba ze masz jakies router-on-a-stick za firewallem który Ci zroutuje ten ruch jakos razem
Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP
Ad1. no tutaj chyba nie bardzo, bo na przykład jak zrobię ruch do klienta 1, który ma tę samą adresację co klient2 czyli np. mam routing do 10.10.10.0/24 via tunnel.1 i routing do 10.10.10.0/24 via tunnel.2. Tak jak pisalem, klient po swojej stronie nie robi żadnego NATa.
Ad2. Z zasady klienci nie mają się ze sobą komunikować. Poza tym tam można robić routing między vsysami, z tego co kojarzę (co oczywiście może nie jest najbardziej optymalnym rozwiązaniem).
Ad2. Z zasady klienci nie mają się ze sobą komunikować. Poza tym tam można robić routing między vsysami, z tego co kojarzę (co oczywiście może nie jest najbardziej optymalnym rozwiązaniem).
Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP
No ale mozesz zrobic NAT w taki sposob ze klient A bedzie widziany przez Ciebie jako 10.10.A.0/24 a drugi 10.10.B.0/24 .. i natujesz dopiero jak ruch wpadnie w tunel. do jakies 10.10.10.0/24 na obu tunelach.
Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP
Nie bardzo rozumiem jak mialbym to zrobic. PA robi route-based VPN - z tego co wiem nie da sie zrobic nata jak 'ruch wpadnie w tunel'. Na podstawie tablicy routingu (po destination NAT) określany jest egress interface, czyli w tym przypadku tunnel interface.