❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Policy based vs route based IPSEC S2S

Místo, kde žádná otázka není hloupá.
0ndra
Příspěvky: 1
Registrován: 5 years ago

Policy based vs route based IPSEC S2S

Příspěvekod 0ndra » 5 years ago

Ahoj, pro jednoho klienta řeším úpravu sítě a potřeboval bych trochu nasměrovat.
Aktuální stav je na přiloženém schématu. Síť jsem převzal bez nakonfigurovaného vtun0, podivnej subnet 192.168.0.0/24 neřešte, plánuji předělat.
Kompy v LAN za Edgerouterem využívají DC 192.168.6.2 pro ověřování, to je jediný důvod S2S spoje. Vše ok do doby, než si zákazník vymyslel OpenVPN do Site A - mají zde data, na která potřebují přistupovat zvenku. Problém nastává u klientů připojených na OpenVPN. DC 192.168.6.2 je na OpenVPN nedostupný, takže se jim neověřuje Exchange a Outlook z toho kraví a pošta nejde.
Na Fortigate jsem nechal přidat routu do subnetu OpenVPN, dále klienti na OpenVPN dostanou přes push routu do LAN i do S2S, ale to samozřejmě nestačí. Historicky je S2S IPSEC řešen jako policy based. Můj dotaz zní: Je nějaká možnost, jak přes policy based IPSEC dostat komunikaci z LAN i z ovpn, aby byl DC dostupný z obou míst?
Zatím jsem měl v plánu překopat S2S VPN na route based, což by s dalšími pár úpravami dle mého pomohlo. Během pátrání jsem objevil tohle supr fórum, tak než do toho říznu, radši se ptám. Za každou radu budu rád, díky!
Přílohy
LAN.jpg
LAN.jpg (22.37 KiB) Zobrazeno 2211 x
0 x