Extern IP auf Site-to-Site VPN umlenken

Hallo allerseits

Wir haben ein Site-to-Site VPN über Ipsec-IKE eingerichtet, das uns vom lokalen Netz Zugriff gibt auf eine externe Entwicklungsumgebung.
Nun wurde folgende Anfrage an mich herantragen:

Ein im Amazon-Kosmos laufender Host soll über unsere externe IP durchgeleitet werden auf das Site-to-Site VPN,
um dann in der externen Entwicklungsumgebung Abfragen aus einer Datenbank zu tätigen.

Hier scheitere ich bereits im Ansatz, da ich nicht weiß, wo ich das beginnen soll. Ich dachte an eine DNAT Regel,
wo ich den Weg der externen IP auf das StS-VPN lenke- allerdings bekomme ich die Regel gar nicht ausformuliert,
da ich das VPN gar nicht auswählen kann.

Kann mich bitte jemand in die richtige Richtung schubsen. Was braucht es noch an Informationen?
Danke im Voraus für die Unterstützung!

  • Ich weiß nicht, ob ich es jetzt richtig verstanden habe...:

    Amazon-Host--- Haupt-Standort___Site2SiteVPN___entfernter Standort

     

    Wenn es jetzt so sein soll, dass vom entfernten Standort der Amazon-Host über das VPN zum Hauptstandort erreicht werden soll, dann muss der Amazon-Host beim Site2Site Tunnel im Hauptstandort in der VPN-Konfiguration bei "lokales Netzwerk/Host" mit eingefügt werden und auf der Seite des entfernten Standortes in der VPN-Konfiguration bei remote Netzwerk/Host (bzw. beim Punkt entferntes Gateway).

    -> Wenn am entfernten Standort nun jemand den Amazon-Host antriggert, geht dieser Verkehr zunächst duch den Tunnel in den Haupstandort und dort dann erst zu dem Amazon Host.

    (Ggf. muss für diese Anfrage dann noch eine Maskierung/SNAT am Haupstandort erfolgen)

     

    Entspricht das dem was du möchtest?

     

    Ggf. benütigst du bei Webtraffic noch Proxyausnahmen.

    Mit "tracert IP- des Amazon Host" kannst du auf einem Client am entfernten Standort prüfen, welchen Weg er bei der Anfrage zum Amazon-Host nimmt

  • Hallo Thomas,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    When you forward traffic through a VPN, you have to use a Full NAT instead of a DNAT.  Does that solve your issue?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hallo.

    Danke euch beiden für den Input!

    @Balfson: Die Full-NAT Regel verstehst du als Ergänzung zu dem, was Steve Weißpflog vorgeschlagen hat?

    Schönes Wochenende

  • In reply to Thomas Swania:

    I prefer the Full NAT to a combination of SNAT and DNAT, Thomas.

    That is to say, if you have a site-to-site setup like:

    {Site A Local Networks} <--> [Site A UTM] <-- VPN --> [HQ UTM] <--> {HQ Local Networks}

    You can, have an Additional Address on the External interface of the [HQ UTM] and then use a Full NAT to allow the cloud-based devices to reach a device in Site A.

    If you want the cloud-based devices to be able to reach any device in the Site A Local Networks, then you need Steve's suggestion.  This is also described in Hub and Spoke Site-to-Site VPNs which also provides a link back to a 2009 thread in the German Forum where you will also want to read the second post by Gert Hansen, one of the original creators of this UTM.

    MfG - Bob (Bitte auf Deutsch weiterhin.)