- Hat év támogatást csomagolt fém házba a OnePlus Nord 4
- Google Pixel topik
- Poco X5 Pro - ránézésre jó
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Beárazták az projektoros Ulefone-t
- iPhone topik
- Samsung Galaxy A56 - megbízható középszerűség
- eSIM, a kártyamentes szabadság
- Milyen okostelefont vegyek?
- Apple Watch Sport - ez is csak egy okosóra
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
Cyber_Bird
senior tag
Hello!
Feldobok ide egy kerdest, hatha valaki veletlen pont jartas a temaban.
Azure, vpngw, asav, vnetpeering, natProblemafelvetes:
Ugyfelunknel internal policy miatt csak policy based ipsec vpn-t lehet csinalni (route based-et nem) valamint szinten policy miatt sehol nem lehet jelen a halozatukban kulso partner private IP range-e.Nekunk van ket azure address spaceunk (ket kulon resource groupban) amiben csucsul -az egyszeruseg kedveert- 1-1 vm.
A feladat relevans resze, az o on prem hostjaik es a mi azure vmunk kozott kellene kommunikalni, ugy, hogy naluk meg az interesting trafficot definialo crypto acl-ben se jelenjen meg a mi internal ipnk.
Otletelesem:
Az a megoldas ra, hogy ok adnak nekunk egy altaluk kivalasztott internal range-et amire mi static NAT-al atforgatjuk a VMeink IPjet. Ez ugyan szerintem ronda megoldas, de meg lehet(ne) csinalni, viszont, a microsoft nem tamogatja a NATot a VPN gateway-n, akkor, ha policy based vpn-t hasznalsz. Route based-et tamogat, de azt meg a partnernel nem lehet hasznalni. <note to self, sose menjek ahhoz a ceghez dolgozni>
Az otletem a kovetkezo, deployolok egy ASAv-t azureba, ezzel megcsinalom a policy based vpn-t es a NAT-ot az ugyfel es koztunk.
Eloszor arra gondoltam, hogy bekapcsolom a vnet peeringet az asa address space-e es VM address space-e kozott, de mivel az asahoz nincsen network gateway csinalva, egy azt nem lehet transitra hasznalni ha jol ertem. Kicsit el vagyok vesze ezen a teruleten meg sajnos.
Szoval a masodik otletem, hogy csinalok egy route based vpn-t az ASAv es az adott address space vpn gatewayje kozott.
Ez igy mukodik es az alabbi gyonyoru traffic flow-t kapom:
on-prem host> on-prem firewall >NAT >>policy based ipsec vpn >> NAT > azure asav >>route based ipsec vpn >>azure vpn gw a masik subnetben > azure VMMegoldas lenne, hogy az adott address spacebe(es resource groupba) deployolom bele az asav-t es akkor kihagyhato a route based vpn, viszont a market placebol, csak uj vagy ures resource groupba lehet deployolni az asa-t, nekunk viszont mar letezik egy csomo resource az adott reource groupban, es nem szeretnem ujrakezdeni a felhuzasat es konfigolasat mindennek.
Egyebkent ket kulon resource-groupban van a ket vm, ket kulon address space-el, tehat ket ASAv kellene ebben az esetben, dupla koltsegert.
Egyebkent honapok ota folyik a projekt, de multheten jeleztek, hogy jabocs route-based nem mukodhet es ugy egyebkent NAT is kell, a megoldast pedig tegnapra szeretnek.
Konkluzio:
Otlet esetleg valakinek egy szebb megoldasra? Batorito szavak? Valami kenyelmes kenyszerzubbony, eros nyugtatok?
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- AKCIÓ! Gigabyte B760M i5 14600KF 32GB DDR4 512GB SSD RX 6800XT 16GB Rampage SHIVA CM 750W
- LG 27GS60QC-B - 27" Ívelt - 2560x1440 - 180Hz 1ms - AMD FreeSync - Bontatlan - 2 Év Gyári Garancia
- Bomba ár! Dell Latitude 5310 - i5-10GEN I 16GB I 256SSD I HDMI I 13,3" FHD I Cam I W11 I Garancia!
- Újra Akcióban!!! Ducky One 2 Mini és SF billentyűzetek a bolti ár töredékéért! Számla+Gari
- Gombászkönyvek egyben
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest