VPN tra Firebox e CISCO

oktav · 12-11-2009, 21:09

Salve a tutti.
Premesso che non sono un esperto di networking espongo subito il mio problema:

Mi devo connettere ad una VPN Cisco. Lo posso fare attraverso un client VPN per Windows (Client VPN_V5.003), client per linux (vpnclient-linux-x86_64-4.8.02.0030-k9), altro client per linux (vpnc). Nella mia azienda stiamo utilizzando un applicativo di polling snmp che prende dati da svariati dispositivi sparsi per l'europa attraverso internet. Ultimamente abbiamo necessità di fare queste richieste snmp anche su dispositivi che stanno dietro a questa VPN.
Il problema è che appena mi connetto perdo la possibilità di raggiungere dispositivi sulla rete locale, quindi, raggiungere anche il gw che mi serve per interrogare i dispositivi fuori dalla VPN. Ho notato una opzione sul client VPN che dovrebbe permettermi di usare la rete locale però appena mi connetto il valore cambia su false. Evidentemente questa opzione viene sovrascritta dal router VPN Cisco.

Ora arriva la domanda:

Posso usare un Firebox come gateway per raggiungere dispositivi sulla rete VPN e un nostro router per tutti gli altri indirizzi? Poi sarà necessario aggiungere tutta una serie di routes sul client che esegue queste interrogazioni ma questo è un'altro discorso. Il firebox può collegarsi alla VPN e mantenere una connessione sempre attiva? Qua sto un pò sparando a caso. Come posso configurare il firebox perchè faccia questo?

P.S. Il firebox di cui dispongo è un: WatchGuard Firebox X Edge e-Series

Rottweiler · 13-11-2009, 17:43

Come hai giustamente osservato, l'opzione per permettere di accedere contemporaneamente alla vpn e al proprio gateway per internet viene imposta dalla configurazione del router cisco (split tunneling).

Non credo che tu possa connettere un altro firewall con i parametri del client senza mettere mano alla configurazione del router al quale vuoi connetterti, però potresti installare il client vpn in un punto accessibile nella tua rete (chessò una macchina virtuale) e condividere quella connessione per usarla come gateway per la rete protetta. Sempre che questa cosa non venga negata a livello di access list sul traffico della vpn. Molto probabilmente funzionerebbe.

oktav · 13-11-2009, 22:32

Grazie per la risposta. Il problema é che appena collego con il client la macchina non è più raggiungibile quindi anche condividendo la connessione non potrò usare la nuova macchina come gateway.

Rottweiler · 14-11-2009, 10:48

Se proprio non puoi accedere alla configurazione del concentratore, io farei questa prova (non l'ho mai fatto, ma ci avevo pensato tempo fa..):
prova ad usare un diverso client vpn per esempio questo:
dovrebbe permettere di selezionare l'opzione split tunneling indipendentemente, ma non sono sicuro che funzioni se la regola più restrittiva è sul firewall. Potebbe funzionare, facci sapere.

12-11-2009, 21:09	#1
oktav Junior Member Iscritto dal: Dec 2008 Messaggi: 3	VPN tra Firebox e CISCO Salve a tutti. Premesso che non sono un esperto di networking espongo subito il mio problema: Mi devo connettere ad una VPN Cisco. Lo posso fare attraverso un client VPN per Windows (Client VPN_V5.003), client per linux (vpnclient-linux-x86_64-4.8.02.0030-k9), altro client per linux (vpnc). Nella mia azienda stiamo utilizzando un applicativo di polling snmp che prende dati da svariati dispositivi sparsi per l'europa attraverso internet. Ultimamente abbiamo necessità di fare queste richieste snmp anche su dispositivi che stanno dietro a questa VPN. Il problema è che appena mi connetto perdo la possibilità di raggiungere dispositivi sulla rete locale, quindi, raggiungere anche il gw che mi serve per interrogare i dispositivi fuori dalla VPN. Ho notato una opzione sul client VPN che dovrebbe permettermi di usare la rete locale però appena mi connetto il valore cambia su false. Evidentemente questa opzione viene sovrascritta dal router VPN Cisco. Ora arriva la domanda: Posso usare un Firebox come gateway per raggiungere dispositivi sulla rete VPN e un nostro router per tutti gli altri indirizzi? Poi sarà necessario aggiungere tutta una serie di routes sul client che esegue queste interrogazioni ma questo è un'altro discorso. Il firebox può collegarsi alla VPN e mantenere una connessione sempre attiva? Qua sto un pò sparando a caso. Come posso configurare il firebox perchè faccia questo? P.S. Il firebox di cui dispongo è un: WatchGuard Firebox X Edge e-Series

13-11-2009, 17:43	#2
Rottweiler Senior Member Iscritto dal: Nov 2002 Messaggi: 1149	Come hai giustamente osservato, l'opzione per permettere di accedere contemporaneamente alla vpn e al proprio gateway per internet viene imposta dalla configurazione del router cisco (split tunneling). Non credo che tu possa connettere un altro firewall con i parametri del client senza mettere mano alla configurazione del router al quale vuoi connetterti, però potresti installare il client vpn in un punto accessibile nella tua rete (chessò una macchina virtuale) e condividere quella connessione per usarla come gateway per la rete protetta. Sempre che questa cosa non venga negata a livello di access list sul traffico della vpn. Molto probabilmente funzionerebbe.

13-11-2009, 22:32	#3
oktav Junior Member Iscritto dal: Dec 2008 Messaggi: 3	Grazie per la risposta. Il problema é che appena collego con il client la macchina non è più raggiungibile quindi anche condividendo la connessione non potrò usare la nuova macchina come gateway.

14-11-2009, 10:48	#4
Rottweiler Senior Member Iscritto dal: Nov 2002 Messaggi: 1149	Se proprio non puoi accedere alla configurazione del concentratore, io farei questa prova (non l'ho mai fatto, ma ci avevo pensato tempo fa..): prova ad usare un diverso client vpn per esempio questo: dovrebbe permettere di selezionare l'opzione split tunneling indipendentemente, ma non sono sicuro che funzioni se la regola più restrittiva è sul firewall. Potebbe funzionare, facci sapere.

Strumenti
Mostra una versione stampabile Invia questa pagina per email