ASA: Probleme NAT avec VPN site-to-site (IP reseaux identiques)
lm-perso
Messages postés
1
Date d'inscription
Statut
Membre
Dernière intervention
-
ciscopat Messages postés 2 Date d'inscription Statut Membre Dernière intervention -
ciscopat Messages postés 2 Date d'inscription Statut Membre Dernière intervention -
Bonjour
J'ai un ASA5510 pour connecter des clients à mon entreprise en vpn ipsec site to site: Je le configure avec ASDM et les clients utilisent divers équipement VPN (Cisco, Sonicwall, Zyxel, Checkpoint ... ).
Je translate chaque réseau client en une unique adresse visible de mon coté
Client1 192.168.1.0/24 Dynamic PAT (hide) a.b.c.1/24
Client2 172.16.0.0/16 Dynamic PAT (hide) a.b.c.2/24
Client3 172.17.4.0/26 Dynamic PAT (hide) a.b.c.3/24
...
Tout fonctionne bien mais j'ai un probleme car un nouveau client qui utilise le même réseau IP LAN qu'un autre client (ils ne peuvent pas translater de leur coté).
Je voudrais donc faire un NAT du type
Client1 192.168.1.0/24 Dynamic PAT (hide) a.b.c.1/24 connect to w.x.y.0/24
Clientn 192.168.1.0/24 Dynamic PAT (hide) a.b.c.n/24 connect to w.x.y.0/24
et que les paquets retour partent bien
dans le tunnel1 pour a.b.c.1/24
dans le tunneln pour a.b.c.n/24
Je ne trouve aucune doc Chez disco qui aborde ce probleme. Si quelqu'un a une idée je suis très intéressé.
Merci
Laurent
J'ai un ASA5510 pour connecter des clients à mon entreprise en vpn ipsec site to site: Je le configure avec ASDM et les clients utilisent divers équipement VPN (Cisco, Sonicwall, Zyxel, Checkpoint ... ).
Je translate chaque réseau client en une unique adresse visible de mon coté
Client1 192.168.1.0/24 Dynamic PAT (hide) a.b.c.1/24
Client2 172.16.0.0/16 Dynamic PAT (hide) a.b.c.2/24
Client3 172.17.4.0/26 Dynamic PAT (hide) a.b.c.3/24
...
Tout fonctionne bien mais j'ai un probleme car un nouveau client qui utilise le même réseau IP LAN qu'un autre client (ils ne peuvent pas translater de leur coté).
Je voudrais donc faire un NAT du type
Client1 192.168.1.0/24 Dynamic PAT (hide) a.b.c.1/24 connect to w.x.y.0/24
Clientn 192.168.1.0/24 Dynamic PAT (hide) a.b.c.n/24 connect to w.x.y.0/24
et que les paquets retour partent bien
dans le tunnel1 pour a.b.c.1/24
dans le tunneln pour a.b.c.n/24
Je ne trouve aucune doc Chez disco qui aborde ce probleme. Si quelqu'un a une idée je suis très intéressé.
Merci
Laurent
2 réponses
Salut Laurent,
si tu n'as pas eu de réponse là bas....
je doute fort que tu l'aies plus ici ;-)
du nat destination ...
je trouve dommage de se compliquer la vie avec des réseaux qui se recouvrent et de se bloquer des possibilités d'évolution avec du nat dans tous les sens.
A trop vouloir contourner les règles de base d'un réseau, on bâtit des usines à gaz peu performantes et bourrées de limitations vicieuses.
Il serait plus sain d'imposer ton plan de numérotation à tes clients.
si tu n'as pas eu de réponse là bas....
je doute fort que tu l'aies plus ici ;-)
du nat destination ...
je trouve dommage de se compliquer la vie avec des réseaux qui se recouvrent et de se bloquer des possibilités d'évolution avec du nat dans tous les sens.
A trop vouloir contourner les règles de base d'un réseau, on bâtit des usines à gaz peu performantes et bourrées de limitations vicieuses.
Il serait plus sain d'imposer ton plan de numérotation à tes clients.
demande lui de natter avant que ca sorte de son fw. c'est une pratique courante.
ex: mettons son reseau est 192.168.2.0... ben qu'il nat uniquement ce qui vient vers toi a ce que toi tu veux il n'a pas a natter tout son reseau ou changer d'ip nul part. ca s'appelle 'interesting traffic'
de plus ta facon de faire PAT je ne suis pas tres excite avec cette idee.
tu empeches a un systeme de savoir quel ip s'est connecte, il vont tous venir du meme ip ce qui cote securité n'est pas acceptable.
ex: mettons son reseau est 192.168.2.0... ben qu'il nat uniquement ce qui vient vers toi a ce que toi tu veux il n'a pas a natter tout son reseau ou changer d'ip nul part. ca s'appelle 'interesting traffic'
de plus ta facon de faire PAT je ne suis pas tres excite avec cette idee.
tu empeches a un systeme de savoir quel ip s'est connecte, il vont tous venir du meme ip ce qui cote securité n'est pas acceptable.
En effet, c'est une tentative au cas où ce serait plus simple en français.
Par contre, pour imposer à un client de changer tout son adressage IP ce n'est pas forcément évident !
mais ça fait partie des préalables à l'intégration à un réseau existant.
C'est fait pour ça, gérer plusieurs mêmes adressages de clients.
Après je ne suis pas assez expérimenté sur la techno mais je pense que chercher dans cette direction est la bonne solution.
Bon courage en tout cas
PS : Faire changer le client d'adressage une fois que lui a tout implanté, c'est pas évident non :).