Domanda,

router1 con 2 subnet locali (192.168.100.0/24 e 192.168.101.0/24), collegato con router2 in VPN nella quale esiste già la subnet 192.168.100.0/24 oltre alla 192.168.110.0/24.

Al momento, sono trasportate sulla VPN solo le reti 192.168.101.0/24 e la 192.168.110.0/24.

Posso aggiungere la 192.168.100.0/24 sul tunnel (subnet comune a entrambi i router)?

Di regola non lo puoi fare.

In pratica qualcosa si può fare.
Sono tre tecniche che potresti usare (direi assieme): doppio nat (ovvero natti allo stesso momento ip sorgente e destinazione), rotte statiche a 32 bit su tutti gli host che devono accedere alle risorse remote (queste rotte devono puntare ai gw che hanno vpn e doppio nat) - cosa che potrebbe funzionare. Infine dovresti fare salti mortali per la risoluzione dei nomi: su ogni dns (o servizio di risoluzione dei nomi alternativo) devi impostare l'ip adatto (quello locale o quello "temporaneo" del doppio nat).

In pratica è una bestia impossibile da mantenere. Fallo se
- hai le idee ben chiare sul come intervenire
- non puoi toccare gli indirizzamenti per nessun motivo
- è una soluzione temporanea finchè non viene progettato e realizzato l'indirizzamento corretto.

Stando allo schema che allego:

In pratica qualcosa si può fare.
Sono tre tecniche che potresti usare (direi assieme): doppio nat (ovvero natti allo stesso momento ip sorgente e destinazione),

----- assieme? da solo il doppio nat o singolo nat (che propongo più avanti) non dovrebbe bastare?

----- ma dovrebbe funzionare anche solo nattando la sorgente (singolo nat), basta che la subnet sorgente si presenti alla subnet destinazione con un indirizzamento diverso, giusto?


rotte statiche a 32 bit su tutti gli host che devono accedere alle risorse remote (queste rotte devono puntare ai gw che hanno vpn e doppio nat) - cosa che*potrebbe*funzionare.*

--- Quindi, se l'host 192.168.100.10 dell'ufficio1 dovesse raggiungere l'host 192.168.100.11 dell'ufficio2, dovrei aggiungere sul 192.168.100.10 qualcosa come:

route add 192.168.100.11 255.255.255.0 192.168.100.1

Ho qualche dubbio...e comunque credo che se utilizzo il doppio/singolo nat non servirebbero più le route statiche


Infine dovresti fare salti mortali per la risoluzione dei nomi: su ogni dns (o servizio di risoluzione dei nomi alternativo) devi impostare l'ip adatto (quello locale o quello "temporaneo" del doppio nat).

----- già, sarebbe una cosa poco pulita...

In pratica è una bestia impossibile da mantenere. Fallo se
- hai le idee ben chiare sul come intervenire
- non puoi toccare gli indirizzamenti per nessun motivo
- è una soluzione temporanea finchè non viene progettato e realizzato l'indirizzamento corretto.

dunque....
in parte ho cannato sul doppio nat. Come idea potrebbe funzionare, ma solitamente viene utilizzato per situazioni un pelo diverse.

Devi dare qualche informazione in più
- proprio non è possibile ri-numerare una delle due lan 192.168.100.x/24 ?
- potresti dividere la 192.168.100.x/24 in 192.168.100.0/25 e 192.168.100.128/25 (una per sito)?
- le reti 192.168.101.x/24 e 192.168.110.x/24 stanno in lan distinte (ovvero altra vlan o altra lan - scheda di rete) rispetto alla 192.168.100.x/24 locale? Ovvero: non è che sono impostati i "doppi" indirizzi sulla stessa scheda di rete?
- quanti dhcp hai? Dove stanno e che range distribuiscono?
- le reti 192.168.100.x/24 hanno host con indirizzi distinti? Ovvero non che hai un host 192.168.100.105 (tanto per fare un esempio) in ciascun sito?
- come risolvi i nomi degli host? Hai un dns o usi roba come netbios e compagnia?
- hai altra roba sensibile ai broadcast? (a volte ti puoi trovare qualche centralino voip "rompiscatole")

Tanto per intenderci, il tutto è rivolto a capire se te la puoi cavare con un bridge (tunnel attraverso la vpn) o qualche forma di proxy-arp.
In ogni caso, ribadisco, che la cosa più rapida che risolve evitando accrocchi è di ri-numerare uno dei due siti con la 100.x

Devi dare qualche informazione in più
- proprio non è possibile ri-numerare una delle due lan 192.168.100.x/24?
----- impossibile! niente da fare in questo senso.

- potresti dividere la 192.168.100.x/24 in 192.168.100.0/25 e 192.168.100.128/25 (una per sito)?
----- cio'è subnettearla? anche questo impossibile, ci sono dei server app, dei db, e tanti altri sistemi su le 2 lan che riconfigurarle sarebbe una tortura, quindi anche questo impossibile!

- le reti 192.168.101.x/24 e 192.168.110.x/24 stanno in lan distinte (ovvero altra vlan o altra lan - scheda di rete) rispetto alla 192.168.100.x/24 locale? Ovvero: non è che sono impostati i "doppi" indirizzi sulla stessa scheda di rete?
----- Le reti 192.168.101.x/24 e 192.168.110.x/24 sono altre vlan.
----- Nel router1, sulla eth0 passano sia la vlan 100.0 sia la vlan 101.0, sulla eth1 passano altre vlan che non ho nominato perchè credo siano irrelevanti al momento. Cosa analoga per il router2.

- quanti dhcp hai? Dove stanno e che range distribuiscono?
----- un server dhcp per ufficio con diversi scope (uno per vlan), questo server si trova su una vlan diversa a quelle elencate.
----- il range varia in base alla vlan, nel caso della 100.0/24 è 192.168.100.10-192.168.100.200 su entrambi gli uffici.

- le reti 192.168.100.x/24 hanno host con indirizzi distinti? Ovvero non che hai un host 192.168.100.105 (tanto per fare un esempio) in ciascun sito?
----- i server che si trovano su entrambe le vlan 100.0/24 hanno IP diversi (per fortuna!!!), sui client invece può darsi che siano "copiati" gli IP, ma essendo client è più gestibile, quindi si possono cambiare.

- come risolvi i nomi degli host? Hai un dns o usi roba come netbios e compagnia?
----- server DNS locale, uno per ufficio, questo server si trova su una vlan diversa a quelle elencate.

- hai altra roba sensibile ai broadcast? (a volte ti puoi trovare qualche centralino voip "rompiscatole")
----- direi di no.

Tanto per intenderci, il tutto è rivolto a capire se te la puoi cavare con un bridge (tunnel attraverso la vpn) o qualche forma di proxy-arp.
----- con: bridge (tunnel attraverso la vpn) intendi la VPN IPSEC che esiste già?
----- proxy-arp, come potrebbe aiutarmi?

In ogni caso, ribadisco, che la cosa più rapida che risolve evitando accrocchi è di ri-numerare uno dei due siti con la 100.x
----- su questo non ci sono dubbi, ma come scritto sopra è impossibile.

Grazie 1000000000000 per l'interessamento!!!

Probabilmente nattare una delle due lan 192.168.100.x e "cavarsela" con un po' di portforwarding non è nemmeno un'opzione....

Per come la spieghi penso che l'unica cosa che potrebbe funzionare sia un bridge attraverso la vpn (direi meglio farne un'altra dedicata). proxy-arp devo approfondire.

Sia che si faccia uno che l'altro sarà meglio ridurre il più possibile il numero degli host nelle lan 192.168.100.x (ti ritrovi qualsiasi frame che può andare da un sito all'altro, inchiodandoti le due linee).

Questa settimana non ho un granchè di tempo.
Appena riesco a tirare fuori mezza giornata tiro su un po' di VM e simulo il casino che hai....

Grazie mille!!!

Da questo credo si deduce una cosa, ammesso che la VPN vada su (questa sera mi creo 2 subnet muletto, faccio una prova e ti faccio sapere) non basta solo tirare su la VPN, nel senso: se non si interviene o con qualche forma di NAT (singolo o doppio) o PROXY-ARP o route static, i router avrebbero 2 rotte per la 192.168.100.x/24 (quella locale e quella remota) quindi alla fine verrebbe raggiunto solo uno dei segmenti 192.168.100.0/24 in un determinato momento (anche se impostassimo la stessa metrica a entrambe le rotte).

Concordi?

Grazie mille!!!

Da questo credo si deduce una cosa, ammesso che la VPN vada su (questa sera mi creo 2 subnet muletto, faccio una prova e ti faccio sapere) non basta solo tirare su la VPN, nel senso: se non si interviene o con qualche forma di NAT (singolo o doppio) o PROXY-ARP o route static, i router avrebbero 2 rotte per la 192.168.100.x/24 (quella locale e quella remota) quindi alla fine verrebbe raggiunto solo uno dei segmenti 192.168.100.0/24 in un determinato momento (anche se impostassimo la stessa metrica a entrambe le rotte).

Concordi?


La vpn dovresti riuscire a tirarla su senza problemi, dato che esce ed entra dal lato "wan".
Devi impostare che gli host del sitoA usano il routerA (e viceversa), per assicurarti che non cerchino di attraversare (almeno "a livello IP") la vpn.
In vista del bridge puoi tenere un solo dhcp, ma se lo abolisci ti risparmi qualche ora a capire cosa non funziona.

Non credo si possa intervenire sulla route decision impostando una rotta statica 192.168.100.n/32 con administrative distance e metrica pari alle reti direttamente connesse. Se funzionasse (non credo) dovresti farlo sia sugli host che sui router, e lavoreresti più a livello 3 che a livello2. Sarebbe troppo facile.

Se metti la vpn in bridge o usi proxy-arp non ci devono essere indirizzi IP duplicati, per evitare instabilità delle tabelle mac. Ammesso che funzioni. :-)

Penso che due subnet non ti bastano..... c'è da sniffare un po' di traffico per capire che succede....

In settimana proverò a vedere se ci sono metodi più appropriati per fare quello che ti serve (tunnel gre e compagnia, roba che non conosco).

E fare un NAT 1:1 sulla subnet della VPN?

Per raggiungere gli IP 192.168.100.xyz dovrai inserire l'IP (ad esempio) 10.10.10.xyz in cui tutto il traffico verrà nattato 1:1 dalla VPN..

E fare un NAT 1:1 sulla subnet della VPN?

Per raggiungere gli IP 192.168.100.xyz dovrai inserire l'IP (ad esempio) 10.10.10.xyz in cui tutto il traffico verrà nattato 1:1 dalla VPN..


Il bello è che vuol tenere l'indirizzamento uniforme su entrambi i siti...

Probabilmente è la soluzione più semplice, nel senso di "controllata".
Su routerA aggiunge tutti gli indirizzi di sitoB e natta 1:1.
Dall'altra parte il contrario.

Bisogna fare attenzione a cosa natta di preciso.
Se i router hanno ip .100.x/24 diversi e tira su una vpn apposita per questa cosa (direi consigliato) si ritroverà che i pacchetti per il traffico hostvlanXsitoA - hostvlan100sitoB in andata attraverseranno la vpn "nuova", mentre al ritorno la vpn preesistente. Questo se natta solo l'ip destinazione.
Se natta anche l'ip sorgente (quindi doppio nat) può far passare tutto il traffico che vuole nella vpn "nuova".

Tornando al discorso bridge, ammesso che funzioni, il mettere la "nuova" vpn direttamente in bridge da ambo le parti non gli servirebbe nemmeno l'indirizzamento in più, si assicurerebbe che tutto quel che riguarda la 192.168.100.x passa sulla nuova vpn, ma a livello L2 - quindi con tutte le porcherie del caso. Forse più facile, ma meno controllato (imho).