Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 00:34



Ответить на тему  [ Сообщений: 12 ] 
VPN из внутренней сети во внутреннюю сеть 
Автор Сообщение

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Здравствуйте.
Есть локальная сеть - 192.168.2.0/24
Есть ASA которая натит и строит VPN из вне во внутреннюю сеть.
Поставили задачу, чтобы можно было из внутренней сети по VPN получать доступ во внутреннюю сеть же. То есть, например, человек подключенный через корпоративный wifi по VPN подключается к ресурсам внутренней же сети. В ASA не очень силен да еще и настраивалась она изначально через web, мусора много.
Спасибо.


14 июн 2019, 18:01
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
А каков в этом смысл - ???


14 июн 2019, 19:19
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Смысл в том, что человек подключенный к корп. WIFI мог перемещаться с ноутом по офису в пределах доступности беспроводной сети. Такая хотелка. А так как WIFI сеть достаточно не безопасная вещь, то доступ во внутренние ресурсы локальной сети открывает VPN со всеми его шифрованиями и т.д. Технически это возможно? Я не прошу конфиг писать.


14 июн 2019, 20:09
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
без комментариев, полный абсурд!


14 июн 2019, 21:10
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Это все, что можете сказать?
Хорошо, давайте так, это не кейс из жизни, а задача или лаба на экзамене. Отнеситесь к этому так, что ваши убеждения по поводу как и что правильно должно быть, тут не принимаются. Я спросил про техническую возможность, выйти из под белого IP туннелем и зайти на него же во внутреннюю сеть. Это возможно? Если вы не знаете или не уверены, не стоит писать про бред. Я еще и не такое видел, что по вашему мнению абсурд, как реализуется. В данный момент меня интересует эта возможность. Спасибо.


15 июн 2019, 10:34
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Если бы у вас было два разных девайса под, NAT и VPN - то да это возможно.
В вашем "кейсе" - нет :)


15 июн 2019, 11:05
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Это не моя прихоть и не моя хотелка называть это абсурдом, тоже самое скажет Вам любой специалист в этой области..., особенно умиляет причина WiFi по сути небезопасен - ( по сути вся жизнь небезопасна в т.ч. просто хождение по улицам и т.д. ) - ну так сделайте его безопасным - внедрите WPA2-Enterprise с сертификатами для примера и т.д.


15 июн 2019, 11:26
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Спасибо.
Вопрос к Lomax, почему одно устройство не может это сделать? Чем ограничен данный функционал? Кратко. (Про 2 отдельных устройства, ясно)


15 июн 2019, 13:34
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
видимо потому-что вы не сможете из inside asa подключиться к outside интерфейсу.
Может стоит вообще отключить wifi, сейчас интернет у сотовых операторов не дорогой


15 июн 2019, 14:40
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
root99 писал(а):
без комментариев, полный абсурд!

К чему так категорично?
Когда-то давно в какой-то умной книжке по безопасности (возможно даже Cisco-вской)
вполне определенно было написано, что в принципе Wi-Fi - это untrusted zone.
(Надеюсь не нужно объяснять почему?)
И с точки зрения высоких стандартов, VPN через него - это нормально.
Другое дело, что большинству пофигу на высокие стандарты, типа "и так сойдет".
И, в общем-то, в 95% случаев это вполне оправдано. Никто не будет так корячится,
чтобы посмотреть, каких котиков постит МарИванна, и сколько колготок они продали.
Но остается еще 5%, и решать это ТС, т.к. он знает ситуацию.

dezhnevo писал(а):
Я спросил про техническую возможность, выйти из под белого IP туннелем
и зайти на него же во внутреннюю сеть. Это возможно?

Это как-то уж очень закручено.
Чисто технически тут видится два варианта:

1. Вынести Wi-Fi за периметр, в сегмент адресов провайдера (outside).
Тут вообще ничего донастраивать не придется.
Но это только если адресов много, а юзеров мало. Да и юзеры снаружи это не есть хорошо.

2. Выделить Wi-Fi в отдельный сегмент и повесить на отдельный int wifi (security level 50).
И настроить VPN с доступом из wifi в inside.
Но тут вопрос - возможно ли иметь на ASA два VPN instance?
Кто в теме, подскажите, pls.
К сожалению сейчас под рукой нет свободной железки, чтобы попробовать.

_________________
Knowledge is Power


21 июн 2019, 11:15
Профиль

Зарегистрирован: 14 мар 2012, 15:48
Сообщения: 327
А что мешает протестить то ?
Я проверял pptp работало так l2tp нет
Ipsec щА проверю


29 июн 2019, 20:49
Профиль

Зарегистрирован: 14 мар 2012, 15:48
Сообщения: 327
Не не работает ))


29 июн 2019, 20:50
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 50


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB