Ich möchte einen IPSec-Site-to-Site-Tunnel zwischen meinem Unternehmen und einem externen Unternehmen einrichten. (Das externe Unternehmen unterstützt keinen Einwahlmechanismus, daher muss ich ein Site-to-Site-VPN verwenden ...)
Ich möchte von meinem Netzwerk 172.16.0.0/16 aus auf ein Gerät mit der Adresse 1.1.1.1 zugreifen. Ich bin kein großer Experte für Site-to-Site-VPN-Tunnel, aber ich schätze, ich muss einen Tunnel zwischen 1.1.1.1/32 und 172.16.0.0/16 erstellen. Die Konfiguration dieses Tunnels muss an beiden Tunnelendpunkten erfolgen. Dies hat einen großen Nachteil: Interne Details meiner Netzwerkstruktur werden dem externen Unternehmen offengelegt.
Gibt es eine Möglichkeit, einen Tunnel zu erstellen, OHNE dem Peer alle Details meines lokalen Netzwerks mitzuteilen?
Ist in diesem Zusammenhang eine Site-to-Site VPN Verbindung sinnvoll? Wenn ja, wie muss diese konfiguriert werden? Wenn nein, welche Alternativlösungen gibt es, wenn ich nicht unverschlüsselt kommunizieren möchte?
Viele Grüße, Tom
Antwort1
Als Beispiel dafür, was getan werden kann, betrachten Sie Folgendes:
Da der Tunneltutnotwendigerweise jedes Paket, das in beide Richtungen durch den Tunnel geht,dürfenbeschränken, welche Pakete gesendet werden können und welche Kombinationen von IP-Adressen verwendet werden können.
Und natürlich gilt: „Das kann jede Firewall.“
In Ihrem Fall ist Site-to-Site-VPN eine logische Strategie und kann häufig in der Hardware auf Routerebene implementiert werden.