Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP

wszystko inne - NIE licząc sprzętu typu SOHO!!!

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
kefear
wannabe
wannabe
Posty: 76
Rejestracja: 19 lis 2009, 19:41

Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP

#1

#1 Post autor: kefear » 27 gru 2017, 12:32

Cześć,

Obrazek

EDIT: Coś nie renderuje obrazka
https://imagizer.imageshack.com/v2/1024 ... ne8vjg.jpg

Czy da się na pojedynczym pudełku Palo Alto skonfigurować 2+ klientów, którzy mają taką samą adresację IP ? Podstawowym założeniem, jest to, że klient nie robi żadnego NATa po swojej stronie tunelu IPSEC. Jedyny NAT jaki możemy zrobić to po naszej stronie tunelu.

Jedyne co przychodzi mi do głowy, a czego nie mogę przetestować na AWSie to Virtual Systems, gdzie mógłbym każdego klienta wrzucić do osobnego vsysa i natować w tymże.

Komentarze ekspertów PA mile widziane :)

Dzięki!
---
Polecam bloga mojej żony na temat zdrowego odżywiania
https://pracowniazdrowegostylu.pl

Awatar użytkownika
Cinek
wannabe
wannabe
Posty: 82
Rejestracja: 18 mar 2010, 20:55

Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP

#2

#2 Post autor: Cinek » 28 gru 2017, 20:48

Hej,

pewnie ze możesz. Po swojej stronie (hub) zrob dual NAT i nadaj każdemu klientowi "unikatowy" subnet który zamaskuje jego prawdziwa podsiec.

Nie do końca rozumiem idee z Virtual Systems. Jeśli dobrze sobie to wyobrażam to stracisz komunikacje pomiędzy klientem 1 i klientem 2.. no chyba ze masz jakies router-on-a-stick za firewallem który Ci zroutuje ten ruch jakos razem ;-)

kefear
wannabe
wannabe
Posty: 76
Rejestracja: 19 lis 2009, 19:41

Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP

#3

#3 Post autor: kefear » 02 sty 2018, 13:44

Ad1. no tutaj chyba nie bardzo, bo na przykład jak zrobię ruch do klienta 1, który ma tę samą adresację co klient2 czyli np. mam routing do 10.10.10.0/24 via tunnel.1 i routing do 10.10.10.0/24 via tunnel.2. Tak jak pisalem, klient po swojej stronie nie robi żadnego NATa.

Ad2. Z zasady klienci nie mają się ze sobą komunikować. Poza tym tam można robić routing między vsysami, z tego co kojarzę (co oczywiście może nie jest najbardziej optymalnym rozwiązaniem).
---
Polecam bloga mojej żony na temat zdrowego odżywiania
https://pracowniazdrowegostylu.pl

Awatar użytkownika
Cinek
wannabe
wannabe
Posty: 82
Rejestracja: 18 mar 2010, 20:55

Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP

#4

#4 Post autor: Cinek » 03 sty 2018, 15:12

No ale mozesz zrobic NAT w taki sposob ze klient A bedzie widziany przez Ciebie jako 10.10.A.0/24 a drugi 10.10.B.0/24 .. i natujesz dopiero jak ruch wpadnie w tunel. do jakies 10.10.10.0/24 na obu tunelach.

kefear
wannabe
wannabe
Posty: 76
Rejestracja: 19 lis 2009, 19:41

Re: Palo Alto - wielu klientów za tunelami IPSEC z tą samą adresacją IP

#5

#5 Post autor: kefear » 03 sty 2018, 21:39

Nie bardzo rozumiem jak mialbym to zrobic. PA robi route-based VPN - z tego co wiem nie da sie zrobic nata jak 'ruch wpadnie w tunel'. Na podstawie tablicy routingu (po destination NAT) określany jest egress interface, czyli w tym przypadku tunnel interface.
---
Polecam bloga mojej żony na temat zdrowego odżywiania
https://pracowniazdrowegostylu.pl

ODPOWIEDZ