Policy based vs route based IPSEC S2S
Napsal: 23 Aug 2019 22:33
Ahoj, pro jednoho klienta řeším úpravu sítě a potřeboval bych trochu nasměrovat.
Aktuální stav je na přiloženém schématu. Síť jsem převzal bez nakonfigurovaného vtun0, podivnej subnet 192.168.0.0/24 neřešte, plánuji předělat.
Kompy v LAN za Edgerouterem využívají DC 192.168.6.2 pro ověřování, to je jediný důvod S2S spoje. Vše ok do doby, než si zákazník vymyslel OpenVPN do Site A - mají zde data, na která potřebují přistupovat zvenku. Problém nastává u klientů připojených na OpenVPN. DC 192.168.6.2 je na OpenVPN nedostupný, takže se jim neověřuje Exchange a Outlook z toho kraví a pošta nejde.
Na Fortigate jsem nechal přidat routu do subnetu OpenVPN, dále klienti na OpenVPN dostanou přes push routu do LAN i do S2S, ale to samozřejmě nestačí. Historicky je S2S IPSEC řešen jako policy based. Můj dotaz zní: Je nějaká možnost, jak přes policy based IPSEC dostat komunikaci z LAN i z ovpn, aby byl DC dostupný z obou míst?
Zatím jsem měl v plánu překopat S2S VPN na route based, což by s dalšími pár úpravami dle mého pomohlo. Během pátrání jsem objevil tohle supr fórum, tak než do toho říznu, radši se ptám. Za každou radu budu rád, díky!
Aktuální stav je na přiloženém schématu. Síť jsem převzal bez nakonfigurovaného vtun0, podivnej subnet 192.168.0.0/24 neřešte, plánuji předělat.
Kompy v LAN za Edgerouterem využívají DC 192.168.6.2 pro ověřování, to je jediný důvod S2S spoje. Vše ok do doby, než si zákazník vymyslel OpenVPN do Site A - mají zde data, na která potřebují přistupovat zvenku. Problém nastává u klientů připojených na OpenVPN. DC 192.168.6.2 je na OpenVPN nedostupný, takže se jim neověřuje Exchange a Outlook z toho kraví a pošta nejde.
Na Fortigate jsem nechal přidat routu do subnetu OpenVPN, dále klienti na OpenVPN dostanou přes push routu do LAN i do S2S, ale to samozřejmě nestačí. Historicky je S2S IPSEC řešen jako policy based. Můj dotaz zní: Je nějaká možnost, jak přes policy based IPSEC dostat komunikaci z LAN i z ovpn, aby byl DC dostupný z obou míst?
Zatím jsem měl v plánu překopat S2S VPN na route based, což by s dalšími pár úpravami dle mého pomohlo. Během pátrání jsem objevil tohle supr fórum, tak než do toho říznu, radši se ptám. Za každou radu budu rád, díky!