VPN-туннель с сайта на сайт для внешней компании

362
TomS

Я хотел бы установить IPSec-туннель между сайтами между моей компанией и внешней компанией. (Внешняя компания не поддерживает механизм дозвона, поэтому мне приходится использовать VPN типа «сеть-сеть» ...)

Я хотел бы получить доступ к устройству с адресом 1.1.1.1 из моей сети 172.16.0.0/16. Я не такой уж большой эксперт по VPN-туннелям типа «сайт-сайт», но, думаю, мне нужно создать туннель между 1.1.1.1/32 и 172.16.0.0/16. Конфигурирование этого туннеля должно выполняться на обеих конечных точках туннеля. Это имеет один большой недостаток: внутренние детали моей сетевой структуры раскрываются сторонней компании.

Есть ли способ создать туннель БЕЗ предоставления партнеру всех деталей моей локальной сети?

Имеет ли смысл соединение VPN между сайтами в этом контексте? Если так, как они должны быть настроены? Если нет, то какие будут альтернативные решения, если я не хочу, чтобы общение происходило в незашифрованном виде?

С наилучшими пожеланиями, Том

0
Если вы не доверяете (не раскрываете свои ресурсы) другим целям, то какой смысл иметь туннель? Любая в настоящее время ОС поддерживает разрешения. Создайте группу для внешнего сайта и установите разрешения, какие ресурсы для них доступны и какие ограничены. Вы можете использовать OpenVPN для настройки такого моста, где вы можете использовать разные подсети для клиентов OpenVPN, таким образом, оба сайта могут использовать разные схемы подсетей, в то время как подсеть VPN может иметь свою собственную подсеть, такую ​​как 10.1.2.0/24. Alex 5 лет назад 1
Я хочу получить доступ только к одному устройству в своей сети. Они не должны иметь доступа к любым устройствам в нашей сети, а также не должны получать подсказки о том, какие IP-адреса мы используем ... TomS 5 лет назад 0
Сервер OpenVPN на их стороне и клиент OpenVPN на вашей стороне, а затем на вашей стороне в брандмауэре ограничить входящие соединения с внешнего сайта. Это легко сделать с помощью pFsense Alex 5 лет назад 0

1 ответ на вопрос

1
Mike Robinson

В качестве иллюстрации того, что можно сделать, рассмотрим:

https://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/69308-asdm-restrict-remot-net-access.html

Так как туннель делает по необходимости брокера каждый пакет, который проходит через туннель в любом направлении, это может ограничить то, что пакеты могут быть посланы и какие комбинации IP-адреса могут быть использованы.

И, конечно же, «так может любой брандмауэр».

VPN «сайт-сайт» - логическая стратегия в вашем случае, и ее часто можно реализовать аппаратно, на уровне маршрутизатора.

Это означает, что мне не обязательно раскрывать им внутреннюю структуру сети ... Я просто мог бы использовать 0.0.0.0/0 в качестве локальной подсети в определении туннеля ... Я попробую это завтра. Благодарю. TomS 5 лет назад 0

Похожие вопросы