site to site vpn - same subnet

[lilimeshi]

site to site vpn - same subnet

עד כה נוצרו בהצלחה עשרות חיבורים בין לקוחות לבינינו, אבל לכל אחד היה SUBNET אחר מהשני וגם מי שהיה זהה יכולנו לשנות כי היה בידנו לשנות
עכשיו נכנס לקוח חדש שהSUBNET שלו זהה ללקוח אחר, ואצל שניהם אני לא יכול לשנות.

קראתי על אפשרות של TRANSLATED IP אבל לא הצלחתי ליישם את זה
רעיונות?
מבחינת מכשירים זה עומד כרגע ב CHECKPOINT 1180 מול DRAYTEK VIGOR 2960
מיותר לציין שברגע שאני מכניס את הCHECKPOINT עם הSUBNET הזהה ללקוח האחר (192.168.1.0 במקרה הזה) המערכת "מתבלבלת"

אני מדגיש : הסאבנטים הזהים הם בין שני מקורות חיצוניים. ה"HUB" שמהווה ריכוז לקישורי הSITE TO SITE לא מתנגש עם אף אחד מהלקוחות (עדיין)

 

[F00D Is G00D]

בין מה למה רוב התקשורת?

האם כל הלקוחות מתחברים לכמה שרתים אצלך במרכז.
או שהם גם מדברים אחד עם השני? האם המרכז גם יוצר IP סשן עם הלקוחות?
&nbsp
&nbsp
* אם כל התקשורת היא בין הלקוחות למרכז. אתה ייכול ליישם NAT מהאתר החדש שאתה מוסיף, זאת אומרת שכל הבקשות שמגיעות מהתאר הזה יגיעו כ IP אחד אל השרתים שלך, האם האפליקציות שלך יעבדו? שאלה אחרת....
&nbsp
* אם הם חייבים "לדבר" בין אתרים, או שהמרכז מדבר עם האתרים אתה קצת בבעיה, בסופו של דבר השרת צריך לחזור ללקוח לפי IP. אם יש שניים כאלו? למי הוא יחזור? למה שהוא בכלל יצא מהרשת שלו בשביל לחפש את הכתובת הזו?
אתה ייכול עדיין ליישם NAT. ואולי NAT הפוך אם זה מתאים לאפליקציות. אפשר להפנות פורטים בודדים באמצעות NAT או ליצור כתובת NAT נפרדת לכל אחד מהכתובות ברשת השניה (בהרבה מאוד נתבים ו FW תהיה בעיית רישוי לעשות את זה). בכל מקרה הבעיה עם כל זה. זה הסיבוכיות שבתמיכה, והשבירה של מוסכמות קיימות (לאיזו כתובת ה DNS יפנה? האם תשים שני שרתי DNS שונים? וכ'ו וכ'ו)
&nbsp
בעיה....
&nbsp

 

[lilimeshi]

אין תקשורת בין האתרים המרוחקים

רק בין כל לקוח למרכז
&nbsp
בFIREWALL אצלנו יש אפשרות של APPLY NAT POLICY ואז נוצרת אפשרות של TRANSLATED IP שלכאורה עושה בדיוק את זה. דהיינו ממיר SUBNET אתה ממציא 50.1 לSUBNET היעד האמיתי 1.1
אבל ברגע שאני מאפשר את זה הCHECKPOINT לא מצליח לחייג אלי יותר, ופה אני נעצר

 

[F00D Is G00D]

רוצה להעלות צילומי מסך/שרטוט/שגיאה?

 

[lilimeshi]

נפתר חלקית

האופציה של TRANSLATED IP עובדת (זה בעצם NAT POLICY מאחורי הROUTE של הVPN ) אך מציגה שתי בעיות נוספות :
&nbsp
1. כאשר אני עובד בTRANSLATED מסיבה כלשהיא הTMG 2010 שיושב מאחורי FW החומרה לא מצליח לקבל תנועה נכנסת. בעוד שאחרים כן. ואם עובדים ללא TRANSLATED (כלומר מכבים את אחד האתרים המרוחקים הזהים בכתובת ושמים רק אחד) אז זה ניגש תקין.
2. הCHECKPOINT 1180 (יש לי גם 1000N לטסטים) אין לו פונקציה של TRANSLATED והוא יודע רק לצאת לSITE TO SITE בSUBNET האמתי שלו ולא יודע "להמציא" SUBNET מתורגם.