Я хотел бы настроить VPN-туннель IPSec типа «сеть-сеть» между головным офисом и филиалом, а также по политическим соображениям / соображениям безопасности с единственной целью - иметь доступ к подсети «Управление» в филиале, не их основная LAN.
Ни у одной из сетевых плат в этой «управляющей» VLAN / подсети нет шлюза по умолчанию: эти устройства, которыми необходимо управлять, являются многосетевыми и «соединяют» обе сети, и поскольку им требуется выход в Интернет через LAN VLAN / подсеть, Сетевой адаптер, который находится в локальной сети VLAN / подсети, имеет шлюз по умолчанию, установленный как 10.0.0.1; сетевые адаптеры MGMT не имеют шлюза по умолчанию.
Поскольку на этих сетевых интерфейсах нет шлюза по умолчанию, я предполагаю, что мне придется настроить мостовую VPN вместо маршрутизируемой VPN, чтобы мои машины HQ LAN имели IP-адрес VPN в сети MGMT (скажем, 10.1.1.254/24 ). Я предполагаю, что эти устройства не поддерживают статические маршруты (некоторые из них являются устройствами с ограниченной конфигурацией сети).
Я почти уверен, что именно так работает ваша типичная настройка Microsoft RRAS PPTP, когда вы подключаетесь через VPN-клиент рабочей станции XP, но может ли это работать для нескольких машин в штаб-квартире? Я предполагаю, что каждая машина HQ будет SNAT за этим IP-адресом VPN 10.1.1.254? Поддерживает ли это Cisco ASA 5505? Я также не хочу пропускать трафик через туннель в HQ LAN.
РЕДАКТИРОВАТЬ Я, скорее всего, установлю небольшой широковещательный домен в изолированной MGMT VLAN на стороне HQ, чтобы минимизировать весь этот ARP / широковещательный трафик, проходящий через туннель.
[HQ]
LAN: 192.168.0.0/24
GW (Cisco ASA 5505): 192.168.0.1
[Филиал]
"LAN" VLAN / подсеть: 10.0.0.0/24 GW (fe0 10.0.0.1/24)
"MGMT" VLAN / подсеть: 10.1.1.0/24 (fe1 10.1.1.0/24)