Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 4 subscribers
  • Views 973 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Extern IP auf Site-to-Site VPN umlenken

Thomas Swania

Hallo allerseits

Wir haben ein Site-to-Site VPN über Ipsec-IKE eingerichtet, das uns vom lokalen Netz Zugriff gibt auf eine externe Entwicklungsumgebung.
Nun wurde folgende Anfrage an mich herantragen:

Ein im Amazon-Kosmos laufender Host soll über unsere externe IP durchgeleitet werden auf das Site-to-Site VPN,
um dann in der externen Entwicklungsumgebung Abfragen aus einer Datenbank zu tätigen.

Hier scheitere ich bereits im Ansatz, da ich nicht weiß, wo ich das beginnen soll. Ich dachte an eine DNAT Regel,
wo ich den Weg der externen IP auf das StS-VPN lenke- allerdings bekomme ich die Regel gar nicht ausformuliert,
da ich das VPN gar nicht auswählen kann.

Kann mich bitte jemand in die richtige Richtung schubsen. Was braucht es noch an Informationen?
Danke im Voraus für die Unterstützung!



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Thomas,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    When you forward traffic through a VPN, you have to use a Full NAT instead of a DNAT.  Does that solve your issue?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0

    Hallo Thomas,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    When you forward traffic through a VPN, you have to use a Full NAT instead of a DNAT.  Does that solve your issue?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson

    Hallo.

    Danke euch beiden für den Input!

    @Balfson: Die Full-NAT Regel verstehst du als Ergänzung zu dem, was Steve Weißpflog vorgeschlagen hat?

    Schönes Wochenende

  • 0 in reply to Thomas Swania

    I prefer the Full NAT to a combination of SNAT and DNAT, Thomas.

    That is to say, if you have a site-to-site setup like:

    {Site A Local Networks} <--> [Site A UTM] <-- VPN --> [HQ UTM] <--> {HQ Local Networks}

    You can, have an Additional Address on the External interface of the [HQ UTM] and then use a Full NAT to allow the cloud-based devices to reach a device in Site A.

    If you want the cloud-based devices to be able to reach any device in the Site A Local Networks, then you need Steve's suggestion.  This is also described in Hub and Spoke Site-to-Site VPNs which also provides a link back to a 2009 thread in the German Forum where you will also want to read the second post by Gert Hansen, one of the original creators of this UTM.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML