Cisco PIX: VPN -> VPN
Модератор: Модераторы
Сообщений: 3
• Страница 1 из 1
sam_dim » 24 апр 2006, 18:24
Приветствую всех!
Устройство PIX 515E с тремя интерфейсами. В DMZ размещены сервера MAIL и VPN, нужные порты пробрасываются. Из локалки есть IPSec туннель на внешнем интерфейсе на удаленный сайт.
Задача: подключившись снаружи попасть в IPSec туннель.
Проблема в том, что не совсем понятно что надо пробрасывать и как.
После VPN подключения к VPN серверу (в DMZ) клиенту выдается некий локальный адрес из другой сети. Как пробросить этот адрес и куда, чтобы он попал в туннель, который сейчас настроен так, что попасть в него можно только с локальным адресом? Пускать в локалку нельзя, т.к. помимо своих, этим будут пользоваться сторонние специалисты по поддержке удаленных решений. Пробросить в туннель еще одну сеть (адрес которой выдается клиенту VPN) тоже проблематично по соображениям безопастности удаленной сети. Можно ли занатить адрес VPN клиента, из DMZ, в адрес из локальной сетки, но на внешнем интерфейсе? Если можно, то попадет ли он так в туннель?
В ASDM -> Configuration -> General -> VPN System Options есть чек-бокс "Permit communications between VPN peers connected to the same interface". В идеале, было бы здорово, подключиться используя Cisco VPN Client непосредственно к Cisco PIX и уйти в туннель на удаленный сайт. Можно ли так сделать? Наверняка можно, корректнее наверное будет спросить "как?".
Заранее благодарю, легкой вам настройки чего бы то ни было.
Устройство PIX 515E с тремя интерфейсами. В DMZ размещены сервера MAIL и VPN, нужные порты пробрасываются. Из локалки есть IPSec туннель на внешнем интерфейсе на удаленный сайт.
Задача: подключившись снаружи попасть в IPSec туннель.
Проблема в том, что не совсем понятно что надо пробрасывать и как.
После VPN подключения к VPN серверу (в DMZ) клиенту выдается некий локальный адрес из другой сети. Как пробросить этот адрес и куда, чтобы он попал в туннель, который сейчас настроен так, что попасть в него можно только с локальным адресом? Пускать в локалку нельзя, т.к. помимо своих, этим будут пользоваться сторонние специалисты по поддержке удаленных решений. Пробросить в туннель еще одну сеть (адрес которой выдается клиенту VPN) тоже проблематично по соображениям безопастности удаленной сети. Можно ли занатить адрес VPN клиента, из DMZ, в адрес из локальной сетки, но на внешнем интерфейсе? Если можно, то попадет ли он так в туннель?
В ASDM -> Configuration -> General -> VPN System Options есть чек-бокс "Permit communications between VPN peers connected to the same interface". В идеале, было бы здорово, подключиться используя Cisco VPN Client непосредственно к Cisco PIX и уйти в туннель на удаленный сайт. Можно ли так сделать? Наверняка можно, корректнее наверное будет спросить "как?".
Заранее благодарю, легкой вам настройки чего бы то ни было.
- biruk
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 28 апр 2006, 17:08
| Цитата | ||||||||||||||||||||||||||||||
| В DMZ размещены сервера MAIL и VPN
[/quote] что из себя представляет vpn сервер?
|