LINUX.ORG.RU
ФорумAdmin

Две подсети в один туннель


0

0

Всем доброго дня. Имеем головной офис с cisco и публичным ip, а также с внутренней сетью провайдера ip 192.168.100.10. Интернет в филиалы предоставляется через головной офис через ipsec-туннели. Филиал fedora ipsec racoon ip-адрес с внутренней сетью провайдера 192.168.100.11 и локальной подсетью 192.168.202.0.

Задача: В филиале необходимо организовать wi-fi интернет для клиентов на D-link DWL-2100AP, но чтобы они не имели доступа в локальные подсети предприятия. Как сделать это с наименьшими затратами, просто и надежно?

Мои варианты: 1. Подцепить еще одну сетевую карту на шлюз в филиале с выдачей адресов существующей подсети. Резать файрволом неразрешенные ip-адреса и направления на этом интерфейсе. Возможно приоритет маршрутов организовать. 2. Создать еще одну подсеть 192.168.203.0 на новом интерфейсе и отправить ее тоже в туннель, но разрешить на шлюзе и cisco выход только в интернет. racoon.conf sainfo address 192.168.202.0/24 any address 0.0.0.0/0 any - текущее и добавить что-нибудь типа sainfo address 192.168.203.0/24 any address 0.0.0.0/0 any

P.S. Возможно ли организовать 2 вариант любым способом, т.к. он представляется наиболее интересным?

> 2. Создать еще одну подсеть 192.168.203.0 на новом интерфейсе

Под новым интерфейсом вы понимаете алиас на существующий интерфейс?
Или всё таки wi-fi точка будет зацеплена через отдельную сетевуху?
(я про второй вариант)

Можно ли на wi-fi точке обеспечить фильтрацию ip-адресов так, чтобы клиенты не смогли выставить «левую» подсеть?

Nao ★★★★★ ()

Т.е., как я понимаю, второй вариант предполагает подключение wi-fi точки к внутренней сети организации (к тем же свитчам что и компьютеры внутри филиала)
Если да, то есть ли VLANы? (или возможность их настроить на этом оборудовании)

Nao ★★★★★ ()

схему текущего состояние и схему того что надо - в студию.

MikeDM ★★★★★ ()

>Под новым интерфейсом вы понимаете алиас на существующий интерфейс? Или всё таки wi-fi точка будет зацеплена через отдельную сетевуху? (я про второй вариант)

Через новый интерфейс будет wi-fi точка.

Т.е., как я понимаю, второй вариант предполагает подключение wi-fi точки к внутренней сети организации (к тем же свитчам что и компьютеры внутри филиала)

Wi-fi сеть должны быть полностью изолирована от филиала и головного офиса и должна иметь выход только в интернет через новый интерфейс шлюза филиала, далее через cisco головного офиса, без подключений к свитчам филиала.

схему текущего состояние и схему того что надо - в студию.

[URL=http://www.radikal.ru][IMG]http://s42.radikal.ru/i097/1006/36/76f9e8e1beab.jpg[/IMG][/URL] или http://s42.radikal.ru/i097/1006/36/76f9e8e1beab.jpg

Что черным цветом - текущая схема(из филиала доступ в головную сеть и интернет есть), что красным необходимо сделать, причем выход из сети wi-fi только в интернет.

strike1984 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.