Standort-zu-Standort-VPN-Tunnel zu einer externen Firma

491
TomS

Ich möchte einen IPSec-Standort-zu-Standort-Tunnel zwischen meinem Unternehmen und einem externen Unternehmen einrichten. (Die externe Firma unterstützt keinen Einwahlmechanismus, daher muss ich ein Site-to-Site-VPN verwenden ...)

Ich möchte von meinem Netzwerk 172.16.0.0/16 aus auf ein Gerät mit der Adresse 1.1.1.1 zugreifen. Ich bin kein großer Experte für Site-to-Site-VPN-Tunnel, aber ich denke, ich muss einen Tunnel zwischen 1.1.1.1/32 und 172.16.0.0/16 erstellen. Die Konfiguration dieses Tunnels muss auf beiden Tunnelendpunkten erfolgen. Dies hat einen großen Nachteil: Interne Details meiner Netzwerkstruktur werden der externen Firma angezeigt.

Gibt es eine Möglichkeit, einen Tunnel zu erstellen, ohne dem Peer alle Details meines lokalen Netzwerks zu geben?

Ist eine Site-to-Site-VPN-Verbindung in diesem Zusammenhang sinnvoll? Wenn ja, wie sollten sie konfiguriert werden? Wenn nicht, was wären alternative Lösungen, wenn ich nicht unverschlüsselt kommunizieren möchte?

Viele Grüße, Tom

0
Wenn Sie einem anderen Zweck nicht vertrauen (Ihre Ressourcen nicht offen legen), was ist dann der Sinn, einen Tunnel zu haben? Jedes heutige Betriebssystem unterstützt Berechtigungen. Erstellen Sie eine Gruppe für eine externe Site und legen Sie Berechtigungen fest, welche Ressourcen für sie verfügbar sind und welche Einschränkungen bestehen. Sie können OpenVPN verwenden, um eine solche Bridge einzurichten, in der Sie ein anderes Subnetz für OpenVPN-Clients verwenden können. Auf diese Weise können beide Standorte unterschiedliche Subnetzschemata verwenden, während das VPN-Subnetz ein eigenes Subnetz wie 10.1.2.0/24 hat. Alex vor 6 Jahren 1
Ich möchte nur auf ein Gerät in ihrem Netzwerk zugreifen. Sie sollten nicht in der Lage sein, auf Geräte in unserem Netzwerk zuzugreifen, und sollten auch nicht wissen, welche IP-Adressen wir verwenden ... TomS vor 6 Jahren 0
Der OpenVPN-Server auf seiner Seite und der OpenVPN-Client auf Ihrer Seite und dann auf Ihrer Seite in der Firewall beschränken eingehende Verbindungen von einem externen Standort. Mit pFsense ist das problemlos möglich Alex vor 6 Jahren 0

1 Antwort auf die Frage

1
Mike Robinson

Als Beispiel dafür, was getan werden kann, sollten Sie Folgendes berücksichtigen:

https://www.cisco.com/c/de/us/support/docs/security/pix-500-series-security-appliances/69308-asdm-restrict-remot-net-access.html

Da der Tunnel funktioniert notwendigerweise Broker jedes Paket, das in beiden Richtungen durch den Tunnel gelangt, es kann beschränken, welche Pakete gesendet und welche Kombinationen von IP-Adressen verwendet werden können, werden können.

Und natürlich "auch jede Firewall".

Site-to-Site-VPN ist in Ihrem Fall eine logische Strategie, die häufig auf Hardware-Ebene auf Routerebene implementiert werden kann.

Das bedeutet, dass ich ihnen nicht unbedingt meine interne Netzwerkstruktur mitteilen muss ... Ich könnte einfach 0.0.0.0/0 als lokales Subnetz in der Tunneldefinition verwenden ... Ich werde es morgen versuchen. Vielen Dank. TomS vor 6 Jahren 0

Verwandte Probleme