Hay 1 red detrás del FW-A que ya está instalada, en la subred 172.16.101.0/24
Me gustaría establecer un túnel IPSec entre FW-A y FW-B, y que los dispositivos detrás de FW-B también estén ubicados en la misma subred que FW-A en 172.16.101.0/24.
Aquí hay una representación:
Ahora, por lo que sé, la forma de lograr este tipo de topología es conectando ambas redes y haciendo que se comuniquen a través de sus direcciones nat.
Me preguntaba si podría haber otra forma de anunciar la subred A en FW-B, manteniendo al mismo tiempo la misma subred en el lado de B.
¿La idea básica aquí es que un dispositivo detrás de B se comunique directamente con un dispositivo detrás de A usando su dirección real en 172.16.101.0/24 sin ningún NAT?
No estoy seguro de si es razonable esperar esto, ya que soy consciente de la colisión entre ambas redes.
Respuesta1
En tal situación, tienes tres opciones.
- 1: Como ya señaló, use una NAT completa (NAT de origen y destino)
- 2: segmentación de las redes (transformar la
172.16.101.0/24subred en dos subredes /25) - 3: utilice puentes en lugar de un túnel IPsec.
En el escenario 3, construiría una VPN en la capa de red 2, uniendo efectivamente esas dos redes. Debería asegurarse por otros medios de que no se produzcan colisiones de IP. Esto introduce una sobrecarga adicional para la VPN, ya que está haciendo un túnel con el protocolo Ethernet, no con el protocolo IP.
Es posible instalar un firewall en dichas conexiones VPN (consulteaquípor ejemplo, o eche un vistazo a la página de manual de Linux deebtables), pero es más desafiante que en un túnel ipsec y no todos los firewalls tienen esa capacidad. Debido a esos inconvenientes, siempre elegiría la opción NAT completa...