IPsec VPN +router Cisco 2921 inny GW na hostach

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
jan76
rookie
rookie
Posty: 10
Rejestracja: 06 mar 2013, 12:05

IPsec VPN +router Cisco 2921 inny GW na hostach

#1

#1 Post autor: jan76 »

witam
Mam w LANie hosty 10.0.0.X /24 ktore maja GW .1 na urzadzenie ktore załozmy ze nie ma wsparcia dla wystraczajacej ilosci tunelii ipsec.
Dlatego zamiast wymieniać urządzenie na większe mam zamiar dostawić niejako OBOK router Cisco 2921 K9 z adresem IP .10.0.0.250. i na nim odpalic Ipsec VPN.

W zwiazku z powyższym czy jest mozliowsc odpalenia na tym routerze Cisco 2921 K9 funkcjonalnosci NAT na tunelu IPSEc aby ten ruch IPsec przez hosty z LANu był NATowany ( ukrywany ) na tym adresie .250 . Wiem ze cos takiego mozna zrobic na PAlo ALto ale na Cisco jakos nie bardzo moge to ogarnac,
Bede wdzięczny za wszelkie wsparcie i sugestie.

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

Re: IPsec VPN +router Cisco 2921 inny GW na hostach

#2

#2 Post autor: Seba »

Ogólnie można uruchomić VPN na przetranslowanych (NAT/PAT) adresach, ale oczywiście wszystko zależy od szczegółów scenariusza.

Możesz rozpisać jak to miałoby działać z perspektywy przepływu ruchu, np. w jaki sposób hosty wiedzą, że mają iść przez C2921? Do jakich sieci zestawiany jest VPN?
Ten router ma jeden interfejs, tylko 10.0.0.250? Czy też ma więcej?
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

jan76
rookie
rookie
Posty: 10
Rejestracja: 06 mar 2013, 12:05

Re: IPsec VPN +router Cisco 2921 inny GW na hostach

#3

#3 Post autor: jan76 »

Seba pisze:Ogólnie można uruchomić VPN na przetranslowanych (NAT/PAT) adresach, ale oczywiście wszystko zależy od szczegółów scenariusza.

Możesz rozpisać jak to miałoby działać z perspektywy przepływu ruchu, np. w jaki sposób hosty wiedzą, że mają iść przez C2921? Do jakich sieci zestawiany jest VPN?
Ten router ma jeden interfejs, tylko 10.0.0.250? Czy też ma więcej?
Dzieki za zainteresowanie,
Juz rozwijam. Hosty w LANie maja GW na 10.0.0.1 natomiast ruch IPsec widza jak ruchu z Hosta 10.0.0.250.
Wlasnie chodzi o to zeby cały ruch z tunelu IPsec na routerze 2921 "ukryc" za tym adresem IP 10.0.0.250.

VPN jest zestawiany do kilku podsieci IP 192.168.123.X /24 ,192.168.124.X /24, 192.168.125.X /24, ( remote subnets)

Cisco 2921 ma interfejse Outside jak Public IP oraz LAN z adresem 10.0.0.250/24

Ustawialem cos takiego na Palo Alto i to działa.

Czy w tym wypadku mamy ustawic na LANie -Nat Outside -
na interfkjsie Virtual Template do IPSEca - Nat inside -
i NAt overload ??

ODPOWIEDZ