Show Posts
1
Portuguese - Português / Duas redes iguais na fase dois de tuneis IPSEC
« on: December 13, 2021, 03:26:55 pm »
Olá, tudo bem ?
Vou tentar ser o mais claro e especifico possível no meu problema.
Possuo dois tuneis IPSEC, um VTI e outro comum, tunel IPV4
A conexão IPSEC VTI, conecta em uma rede remota a qual é uma rede 10.0.0.0/16, onde há um rota em cima da interface IPSEC (VTI) que todo o tráfego com destino a rede 10.0.0.0/16 passe seja trafegado pela interface IPSEC VTI, OK ATÉ AI TUDO FUNCIONA/FUNCIONAVA.
Porém a alguns dias atrás, foi necessário conectar um cliente remoto, o qual possui um rede remota 10.0.0.0/8 e um DNAT 192.168.237.0/25 e este está conectado atráves de um tunel IPV4 comum ipsec.
10.0.0.0/8 - > DNAT > 192.168.237.0/25
Meu problema é, quando essas duas conexões juntas estão ativas, cliente sconectados ao FW, se perdem ao acessar hosts da rede /16 e tentam tráfegar pela rede /8.
Exemplo:
Origem > LAN FW
Destino > 10.0.0.100
Destino rede 10.0.0.0/16
Porém se o tunel da rede 10.0.0.0/8 estiver ativo, essa conexao não ira ocorrer e todo tráfego WEB de clientes remotos irá para de funcionar.
Abaixo há um esboço simples, caso necessitem de maiores informações, estou à disposição.
Vou tentar ser o mais claro e especifico possível no meu problema.
Possuo dois tuneis IPSEC, um VTI e outro comum, tunel IPV4
A conexão IPSEC VTI, conecta em uma rede remota a qual é uma rede 10.0.0.0/16, onde há um rota em cima da interface IPSEC (VTI) que todo o tráfego com destino a rede 10.0.0.0/16 passe seja trafegado pela interface IPSEC VTI, OK ATÉ AI TUDO FUNCIONA/FUNCIONAVA.
Porém a alguns dias atrás, foi necessário conectar um cliente remoto, o qual possui um rede remota 10.0.0.0/8 e um DNAT 192.168.237.0/25 e este está conectado atráves de um tunel IPV4 comum ipsec.
10.0.0.0/8 - > DNAT > 192.168.237.0/25
Meu problema é, quando essas duas conexões juntas estão ativas, cliente sconectados ao FW, se perdem ao acessar hosts da rede /16 e tentam tráfegar pela rede /8.
Exemplo:
Origem > LAN FW
Destino > 10.0.0.100
Destino rede 10.0.0.0/16
Porém se o tunel da rede 10.0.0.0/8 estiver ativo, essa conexao não ira ocorrer e todo tráfego WEB de clientes remotos irá para de funcionar.
Abaixo há um esboço simples, caso necessitem de maiores informações, estou à disposição.