En la discusión de esta semana de la semana, destacamos una pregunta planteada por el usuario ' Merrick ' sobre el uso de una interfaz de bucle invertido en una configuración VPN de sitio a sitio.
Aunque la configuración de una VPN de sitio a sitio en una interfaz de bucle invertido introduce complejidad adicional, es posible que algunas situaciones merezcan su uso. UN caso de uso común es la necesidad de establecer la interfaz VPN en una dirección IP alternativa que la interfaz externa.
La configuración recomendada es asegurarse de que la interfaz de bucle invertido se encuentra en la misma zona que la interfaz externa (normalmente denominada zona Untrust) y tener la dirección IP de bucle invertido en la misma subred que la interfaz externa. Esta configuración permite una configuración perfecta, casi idéntica a la configuración de la VPN en la interfaz externa. La interfaz del túnel debe estar en una zona diferente, lo que permite políticas de seguridad más detalladas para las sesiones dentro del túnel.
A continuación, voy a destacar una implementación menos común de la ejecución de NAT en un bucle interno en una zona diferente, para resaltar algunos requisitos:
En este ejemplo, la interfaz de bucle invertido se establece en IP privada 10.2.2.2 en la zona VPN-EXT:
La interfaz del túnel se establece en la zona VPN-int:
Para permitir que la interfaz de bucle invertido haga salientes y reciba conexiones VPN entrantes, cree reglas NAT apropiadas:
Y crear una política de seguridad apropiada para permitir que la interfaz de bucle invertido se comunique con los pares IPSec y la interfaz del túnel para conectarse a recursos interno
La pasarela IKE local se puede configurar como de costumbre con un par remoto estático...
pero NAT-T necesita ser configurado:
Configure la configuración del interlocutor remoto para un par dinámico, incluido NAT-T:
Se requiere la identificación de pares en el extremo remoto, ya que el host recibe la IP privada del bucle invertido como un parámetro de identificación, pero la dirección IP física es diferente debido al NAT Configurtion.
Por último, el objeto de túnel IPSec se puede crear sin ninguna configuración especial:
Encamine las subredes apropiadas en el túnel a cada lado agregando una ruta:
Para ver la discusión, consulte el siguiente vínculo: uso de interfaces en bucle para una VPN IPSec de sitio a sitio
Animamos a todos los comentarios o sugerencias.
¡Gracias por leerme!
Tom Piens