Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1209 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote network stupidness

RobFoster_01
Okay, I've been asked to create a tunnel between my network and a partner companies network. In a stroke of brilliance they used a network for their private lan they just pulled out of the air: 218.1.1.0

I've got the tunnel established, but I've not opened any ports to allow traffic. My concern is that not only will they be able to communicate with my servers, but so will whoever really owns those IP's. The ip of their citrix server is actually owned by a company in Korea. The chances of me getting them to renumber their network are slim to nil and the chances of me refusing to set it up and still keeping my job are definatly nil.

So my plan is to just mitigate the danger with a internal -> citrix -> 218.1.1.?? that just points to their citrix server and a 218.1.1.?? -> terminal services -> my termserv that just allow incoming traffic from a select few of their workstation.

Am I overreacting here? Any suggestions on how to mitigate this further?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, your outgoing traffic is not the problem, because it gets routed automatically to the ipsec device. Problem would be incoming traffic from the 218.1.1.0 network. This would theoretically allow  the real owner of the range to get into your network, but he won't get past the astaro, because he dosen't get natted. So be sure you don't do any NAT with that network. 

    Chris
  • 0 in reply to NimmdirKeks
     [ QUOTE ]
     Problem would be incoming traffic from the 218.1.1.0 network.  

    [/ QUOTE ] 

    Yea. That's what I'm worried about. I was wondering if there might be a way to minimize the danger. Is there a way I can use static routes to only allow connections for these ip's if they come in over the tunnel? I really don't care if I break those ip's, the chances that I'll ever have to connect to one of those 255 address' is pretty slim.
  • 0 in reply to RobFoster_01
    just a little idea (with no idea if it works):
    could you give the citrix-server, additionally to the 218.x.x.x ip an internal ip-adress? then you could lock the vpn or any rules you create to this range and don´t have to worry about the korean site...

    i hope this could solve your problems

    mfg
    guybrush
  • 0 in reply to RobFoster_01
    You could try the following,an "illegal" reqest from the Korean owner would go to your external interface, because its the only valid target.  So now you just NAT all requests, with source 218.1.1.0 and target (your) external interface, to some invalid target (destination translation, to some non used local network).

    The firewall should drop them, because it cant reach a valid target. Tunnel traffic should not be affected, because they don't talk to your external interface. 

    Chris
  • 0 in reply to NimmdirKeks
    Would a policy route work a little better? I was thinking something along the lines of:

    Source Interface: External
    Source: Untrusted network
    Service: Any 
    Destination: Any
    Target: Some blackhole host

    Or would that route the vpn traffic as well?
  • 0 in reply to RobFoster_01
    No, because the source would be ANY not the external interface.

    Chris
Reply Children
No Data
Cookie Information Banner