IPsec mellom flere lan med like ip-områder

[petterg]

Jeg vet at cisco kan dette, men jeg kan ikke cisco, så er det noen som vet om noen andre routere som kan dekke dette behovet? Eller aller helst om noen vet prinsippet for hvordan det skal konfigureres i en linux-router.

 

I en bedrift har hver prosjektgruppe fast ip i hver sine små segmenter.

F.eks

G_A: 172.172.172.0/29

G_B: 172.172.172.8/29

G_C: 172.172.172.16/29

G_D: 172.172.172.24/29

 

Disse prosjektgruppene jobber mot forskjellige kunder via lan-lan ipsec.

F.eks:

G_A jobber med kunder på disse subnetene

K_A_A: 192.168.0.0/24

K_A_B: 192.168.1.0/24

K_A_C: 192.168.2.0/24

K_A_D: 192.168.3.0/24

K_A_E: 192.168.4.0/24

 

G_B jobber med kunder på disse subnetene

K_B_A: 192.168.10.0/24

K_B_B: 192.168.11.0/24

K_B_C: 192.168.12.0/24

K_B_D: 192.168.13.0/24

K_B_E: 192.168.14.0/24

 

osv.

Tunellene er definert med /29 segmentet på LAN siden.

 

 

Men så måtte det skje en dag at en prosjektgruppe fikk en kunde med samme subnet som en annen kunde hadde fra før. Brått hadde vi da følgende to tuneller som kom i konflikt med hverandre:

 

172.172.172.0/29 - 192.168.1.0/24

172.172.172.8/29 - 192.168.1.0/24

 

Tunellene lar seg fint definere, begge tuneller kommer opp, og routingen går helt fint (pga forskjellig source). Hver prosjektgruppe kan jobbe med sin kunde på 192.168.1.0/24 - individuelt. Men så fort begge prosjektgrupper prøver å jobbe med 192.168.1.0/24 samtidig faller begge tunellene ned.

 

 

Noen forslag til hvordan dette kan løses på linuxrouteren eller hva man bør skaffe av utstyr som takler dette?

Det er selvsagt mulig å sette opp flere paralelle routere, men noe sier meg at 192.168.1.0/24 vil dukke opp ofte, og det er begrenset hvor mange public ip'r man har tilgjengelig.

[xcomiii]

Kanskje ikke det svaret du vil høre, men ja Cisco sine bokser med VRF kan dette.

[petterg]

Er det kun cisco som har den muligheten?

[xcomiii]

Både Nortel og Juniper har bokser som støtter vrf.

Men de er i enterprise-klassen og koster deretter.

Jeg er ikke kjent med andre metoder enn vrf for å løse problemer med flere identiske nettverk, men kan jo være det finnes. Problemet er jo å ha flere routing tabeller samtidig, og det er da vrf/MPLS kommer til sin rett.

[petterg]

Routingen ser da ut til å fungere. Antar det er det som kalles source based routing. Problemet er heller at den ikke klarer å ha begge tuneller oppe.

[Superslask]

Sålenge problemet ligger i at grupper på tvers av hverandre får samme destinations, vil et VRF per gruppe løse det problemet. Har dere også problemer med at samme gruppe får flere like destinations?

[petterg]

Det kommer ikke til å være noen overlappende subnet innen hver gruppe.

 

Dette burde da være løsbart på linux?

(Beklager sent svar, har ligget på intensiven på sykehus)

[Superslask]

Jeg har ingen anelse om hvor godt VRF-teknologien er støttet i Linux, men policy-based routing ("source-based") er det nok god støtte for. Hvordan dette gjøres i Linux kan jeg ikke hjelpe deg med.

 

Men siden hver source har flere destinations må man rute på destination også. Min løsning ville da vært routemaps som matcher på source som putter nettene i egne VRF.

 

Configuring Policy-Based Routing

Configuring VRF-lite

 

Dette er dog Cisco, og som jeg ser heller du mer mot å bruke eksisterende hw/sw, altså en løsning på Linux. Da vil jeg anbefale en tur bort til Linux-forumet, da de ikke nødvendigvis henger her.