Identifikace LAN IP adresy zařízeni ve VPN, při kolizních LAN rozsazích

Ahoj.
Napada prosim nekoho jak zajistit aby Firewall 0 v datacentru viz:
http://jankubela.cz/Schema%20klientske%20firewally%20kolize%20LAN%20rozsahu.jpg
dokazal identifikoavat LAN IP adresu klientskeho zarizeni "Client device 1 az 6" ve VPN. Kdyz ruzne VPN a maji stejne LAN IP rozsahy? 
Tedy na Firewall 1 a 2 nemuze byt NAT ,ale routovani s nejaku identifikaci klienta na VPN koncentratoru Firewall 1. Nenapada vas prosim neco? Konzultace vedouci k cily muze byt honorovana :-)


Upresnujici info:
-VPN s koliznimi rozsahy je vice
-Firewall 0 je Fortigate, ostatni FW mikrotik
-VPN je ted L2TP/IPSEC, ale je mozne zmenit na nejakou ktere staci verne IP na strane VPN koncentratoru
« Poslední změna: 10. 12. 2019, 07:47:06 od Petr Krčmář »


Jsou kolizni rozsahy na VPN nebo v LAN klienta? Co v tomto kontextu povazujete za VPN? Spoj mezi Firewall 2 (3) a Firewall 1?

Reseni samozrejme par je:
- pouzit IPv6
- preadresovat LAN klientu na nekolizni rozsahy
- na Firewall 2 (3) provadet 1:1 NAT IP adres z LAN klientu na nekolizni adresy, ty routovat mezi Firewall 2 (3) a Firewall 1

Kam mam poslat fakturu? :-P

AgentK

  • ***
  • 108
  • Evolve or die!
    • Zobrazit profil
    • E-mail
Pokud tam nemuze byt nat (nikde?) tak zkusit kazdy subjekt narvat do vlastni VLAN mezi Fortigate a Fw1. Fortigate se s overlapping networks vyrovna (EDIT: musi se to povolit), pokud prijdou z jinych interfacu.
Pokud tam mas/te mikrotiky, tak bych to zkusil routing-markama nebo VRFkama.

S tim fortigate: pokud tech rozsahu neni moc, muzes/te pouzit VDOMy.

-K-
« Poslední změna: 10. 12. 2019, 11:03:58 od AgentK »

Dekuji velice za navrhy (pokud nejaky dojde do produkce, s rad prispeji na vanocni darky :-). Kolize IP je az na urovni klientskych zarizeni, tzn IP VPN tunelu nekoliduji. K jednotlivym navrhum:
1.) pouzit IPv6 : Pokud se nemylim, tak nerealne. (rad bych se mylil:-) Protoze aby FW 0-tzn Fortigate videl pouze IPv6 adresy klientu, musely by klientske zarizeni pouzivat pouze IPv6 coz je zatim neni mozne
2.) preadresovat LAN klientu na nekolizni rozsahy -:  Nedokazu ovlivnit , takze nerealne
3.) na Firewall 2 (3) provadet 1:1 NAT IP adres z LAN klientu na nekolizni adresy, ty routovat mezi Firewall 2 (3) a Firewall 1 : tohle je v krajnim pripadne reseni . Je treba mit prevodni tabulku IP LAN a FGT coz neni moc prakticke , a konfigurovat NAT pro kazdou IP adresu klienta
4.)vlastni VLAN mezi Fortigate a Fw1:  To je zajimava varianta co by asi stala za pokus. Pokud rozumim spravne,  kazda VPN by mela vlastni VLAN a vni v zasade libovolny IP rozsah.  Jiz ted pouzivame na FGT VLANy pro pristup z VPN a jak jsem se ted dival FGT neumi VLAN nad VLAN interfacem. Takze by bylo nutne zmenit sitove schema ale to by se dalo. mel by "AgentK" chut si to zkusit nastavit v nasem test prostredi? -navrhni prosim budget
5.)Pokud tam mas/te mikrotiky, tak bych to zkusil routing-markama nebo VRFkama: Ano, routing marky to na MK predpokladam daj , ale jak pak dal na FGT? S VRF nemam zkusenost. Jaky je prinos oproti routing markam?

Jeste jendou diky za vsechny navrhy.

AgentK

  • ***
  • 108
  • Evolve or die!
    • Zobrazit profil
    • E-mail
Pokud neva rozeberu jen svoje navrhy

....
4.)vlastni VLAN mezi Fortigate a Fw1:  To je zajimava varianta co by asi stala za pokus. Pokud rozumim spravne,  kazda VPN by mela vlastni VLAN a vni v zasade libovolny IP rozsah.  Jiz ted pouzivame na FGT VLANy pro pristup z VPN a jak jsem se ted dival FGT neumi VLAN nad VLAN interfacem. Takze by bylo nutne zmenit sitove schema ale to by se dalo. mel by "AgentK" chut si to zkusit nastavit v nasem test prostredi? -navrhni prosim budget

Co ty VDOMy? Do overlapping networks nastaveni bych sel az v kranim pripade. Funguje to, ale pak je problem s navazovanim spojeni z centra->klienty. Asi by to slo udelat VIPkama, ale je to strasnej kludge.

VDOMy by byly rozdeleny na klienty. Co klient, vlastni VDOM. VDOM je interni tag, nema prakticky na vykon vliv, pokud tedy nepocitame akceleraci. Ta se pres vdom-linky vypne. Jsou modely, co maji akcelerovane VDOM-linky, ale to pak zalezi co v te siti mate. Da se to obejit vlastnim kabelem zapojenym z fgt portu zpet do FGT ... a opet pouzit VLANy.
To jsme ale uz trochu mimo tema.

No, testovaci prostredi muzu zkusit, problem je cas. Jak na to spechas? Muze to pripadne udelat nekdo z mych kolegu.

5.)Pokud tam mas/te mikrotiky, tak bych to zkusil routing-markama nebo VRFkama: Ano, routing marky to na MK predpokladam daj , ale jak pak dal na FGT? S VRF nemam zkusenost. Jaky je prinos oproti routing markam?
...

Routing-marky a VRF spolupracuji. Muzes pouzit routing-mark tak, aby traffic spadl do vlastni routovaci tabulky, pripadne priradit interface do VRF.
Takze bych v prerouringu route-markoval rmark-klientA,B,C ... a nechal bych je routovat specifickou routing tabuli rt-A,B,C .. s defaultou do te VLAN. A zpetne totez. Je to trochu prace a ma svoje uskali, napr. IP adresy mikortiku, ale da se to ukocirovat.
Pokud je nutny nejaky proboz mezi A,B,C muze se nechat ve VRF routa nebo prefix prosaknout do jine VRF. Ale to asi neni treba delat, jestli to dobre chapu.

-K-