Варианты удаленного доступа VPN для двух разных доменов к одному и тому же устройству
-
Всем привет, У нас есть пара FTD 2140 с версией 7.4.2.4, которые используются исключительно в качестве VPN-головных устройств. В настоящее время основная деятельность без проблем завершается на устройстве в его публичном домене. Однако проблема, с которой я столкнулся, заключается в том, что у нас есть отдельное подразделение, которое в настоящее время завершает работу на паре ASA, которые выходят из эксплуатации (EoL/EoS), и мы хотим объединить их на наших FTD 2140. Проблема заключается в том, что у них есть свой отдельный публичный домен. К сожалению, мы не можем использовать несколько сертификатов для одного и того же интерфейса доступа VPN, а также не можем добавить второй внешний интерфейс в неглобальном VRF, поскольку FMC выдает ошибку, говоря, что он должен быть из интерфейса в глобальном VRF. Мы думаем, что, возможно, нам придется заставить организацию использовать наш публичный домен, но могут быть договорные требования по использованию отдельных доменов. Одним из моих попыток было добавление CNAME в DNS, который указывает на основную запись публичного DNS бизнеса, но Secure Client выдает ошибку/предупреждение сертификата, поскольку домены различаются. Какие варианты у меня есть на данный момент, чтобы объединить эти VPN удаленного доступа в одном устройстве, которые я мог упустить из виду? Спасибо,
-
Чтобы, возможно, ответить на свой собственный вопрос. Будет ли это работать, если я добавлю второй внешний интерфейс и зону, а затем добавлю их в качестве второго интерфейса доступа, используя различные сертификаты для опции сертификата идентичности, специфичного для интерфейса, вместо использования глобального сертификата идентичности SSL? Таким образом, я бы настроил что-то вроде следующего: VPN-Outside = 1.1.1.1/24 --> Сертификат идентичности основной организации VPN-Outside2 = 2.2.2.2/24 --> Сертификат идентичности сущности Есть какие-нибудь мысли по этому поводу?
-
Я не вижу причин, почему бы и нет, как вы сказали, вы можете связать другой trustpoint со вторичным внешним интерфейсом и использовать его для домена ASA.
-
Вышеуказанное решение сработало так, как я и предполагал. Я смог указать несколько интерфейсов доступа и назначить сертификат идентификации каждому из этих конкретных интерфейсов. Я протестировал его в лаборатории и убедился, что оно работает, при этом обе стороны бизнеса продолжают использовать соответствующие публичные домены.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти