[sophos xg/xgs] Accesso SSL VPN per reti sovrapposte
Può capitare di dover consentire l’accesso VPN SSL ad un dispositivo appartenente ud una rete uguale a quella a cui si vuole stabilire la connessione.
Lo scenario tipico è quando il firewall ha la LAN sulla rete 192.168.0.0/24 o 192.168.1.0/24, il cui utilizzo in ambito enterprise è sconsigliato proprio per questo motivo. Le due reti infatti sono le più utilizzate in assoluto nei dispositivi domestici.
E’ possibile comunque ovviare al problema nattando la propria rete interna (LAN del firewall) mediante una regola DNAT su una rete “virtuale” da dedicare allo scopo.
Scenario di esempio:
- LAN su 192.168.0.0/24
- Rete “fake” – NAT: 172.16.250.0/24
La regola DNAT sarà così costruita:
- Original source: SSL VPN network (da verificare nelle opzioni della VPN SSL) – ad esempio 10.80.3.0/24
- Original destination: rete “fake” – es. 172.16.250.0/24
- Transalated source SNAT: original
- Translated destination DNAT: 192.168.0.0/24 (subnet della LAN)
A questo punto, un client VPN SSL che si collega da una subnet 192.168.0.x potrà raggiungere i dispositivi della LAN della sede usando la subnet 172.16.250.x (ad esempio, un NAS con IP 192.168.0.199 risponderà alle richieste con l’indirizzo 172.16.250.199).