Új hozzászólás Aktív témák

• #16465 Cyber_Bird senior tag

  Új Válasz 2023-04-18 09:03:07 #16465

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Cyber_Bird

  senior tag

  Hello!

  Feldobok ide egy kerdest, hatha valaki veletlen pont jartas a temaban.
  Azure, vpngw, asav, vnetpeering, nat

  Problemafelvetes:
  Ugyfelunknel internal policy miatt csak policy based ipsec vpn-t lehet csinalni (route based-et nem) valamint szinten policy miatt sehol nem lehet jelen a halozatukban kulso partner private IP range-e.

  Nekunk van ket azure address spaceunk (ket kulon resource groupban) amiben csucsul -az egyszeruseg kedveert- 1-1 vm.

  A feladat relevans resze, az o on prem hostjaik es a mi azure vmunk kozott kellene kommunikalni, ugy, hogy naluk meg az interesting trafficot definialo crypto acl-ben se jelenjen meg a mi internal ipnk.

  Otletelesem:
  Az a megoldas ra, hogy ok adnak nekunk egy altaluk kivalasztott internal range-et amire mi static NAT-al atforgatjuk a VMeink IPjet. Ez ugyan szerintem ronda megoldas, de meg lehet(ne) csinalni, viszont, a microsoft nem tamogatja a NATot a VPN gateway-n, akkor, ha policy based vpn-t hasznalsz. Route based-et tamogat, de azt meg a partnernel nem lehet hasznalni. <note to self, sose menjek ahhoz a ceghez dolgozni >

  Az otletem a kovetkezo, deployolok egy ASAv-t azureba, ezzel megcsinalom a policy based vpn-t es a NAT-ot az ugyfel es koztunk.

  Eloszor arra gondoltam, hogy bekapcsolom a vnet peeringet az asa address space-e es VM address space-e kozott, de mivel az asahoz nincsen network gateway csinalva, egy azt nem lehet transitra hasznalni ha jol ertem. Kicsit el vagyok vesze ezen a teruleten meg sajnos.

  Szoval a masodik otletem, hogy csinalok egy route based vpn-t az ASAv es az adott address space vpn gatewayje kozott.

  Ez igy mukodik es az alabbi gyonyoru traffic flow-t kapom:
  on-prem host> on-prem firewall >NAT >>policy based ipsec vpn >> NAT > azure asav >>route based ipsec vpn >>azure vpn gw a masik subnetben > azure VM

  Megoldas lenne, hogy az adott address spacebe(es resource groupba) deployolom bele az asav-t es akkor kihagyhato a route based vpn, viszont a market placebol, csak uj vagy ures resource groupba lehet deployolni az asa-t, nekunk viszont mar letezik egy csomo resource az adott reource groupban, es nem szeretnem ujrakezdeni a felhuzasat es konfigolasat mindennek.

  Egyebkent ket kulon resource-groupban van a ket vm, ket kulon address space-el, tehat ket ASAv kellene ebben az esetben, dupla koltsegert.

  Egyebkent honapok ota folyik a projekt, de multheten jeleztek, hogy jabocs route-based nem mukodhet es ugy egyebkent NAT is kell, a megoldast pedig tegnapra szeretnek.

  Konkluzio:
  Otlet esetleg valakinek egy szebb megoldasra? Batorito szavak? Valami kenyelmes kenyszerzubbony, eros nyugtatok?

Új hozzászólás Aktív témák