CCIE.pl

Cześć,



EDIT: Coś nie renderuje obrazka
https://imagizer.imageshack.com/v2/1024 ... ne8vjg.jpg

Czy da się na pojedynczym pudełku Palo Alto skonfigurować 2+ klientów, którzy mają taką samą adresację IP ? Podstawowym założeniem, jest to, że klient nie robi żadnego NATa po swojej stronie tunelu IPSEC. Jedyny NAT jaki możemy zrobić to po naszej stronie tunelu.

Jedyne co przychodzi mi do głowy, a czego nie mogę przetestować na AWSie to Virtual Systems, gdzie mógłbym każdego klienta wrzucić do osobnego vsysa i natować w tymże.

Komentarze ekspertów PA mile widziane

Dzięki!

Hej,

pewnie ze możesz. Po swojej stronie (hub) zrob dual NAT i nadaj każdemu klientowi "unikatowy" subnet który zamaskuje jego prawdziwa podsiec.

Nie do końca rozumiem idee z Virtual Systems. Jeśli dobrze sobie to wyobrażam to stracisz komunikacje pomiędzy klientem 1 i klientem 2.. no chyba ze masz jakies router-on-a-stick za firewallem który Ci zroutuje ten ruch jakos razem

Ad1. no tutaj chyba nie bardzo, bo na przykład jak zrobię ruch do klienta 1, który ma tę samą adresację co klient2 czyli np. mam routing do 10.10.10.0/24 via tunnel.1 i routing do 10.10.10.0/24 via tunnel.2. Tak jak pisalem, klient po swojej stronie nie robi żadnego NATa.

Ad2. Z zasady klienci nie mają się ze sobą komunikować. Poza tym tam można robić routing między vsysami, z tego co kojarzę (co oczywiście może nie jest najbardziej optymalnym rozwiązaniem).

No ale mozesz zrobic NAT w taki sposob ze klient A bedzie widziany przez Ciebie jako 10.10.A.0/24 a drugi 10.10.B.0/24 .. i natujesz dopiero jak ruch wpadnie w tunel. do jakies 10.10.10.0/24 na obu tunelach.

Nie bardzo rozumiem jak mialbym to zrobic. PA robi route-based VPN - z tego co wiem nie da sie zrobic nata jak 'ruch wpadnie w tunel'. Na podstawie tablicy routingu (po destination NAT) określany jest egress interface, czyli w tym przypadku tunnel interface.