Site-to-Site VPN mit 2x nated lokalen Client IP

Hallo zusammen,

Ich habe erfolgreich eine Site-to-Site VPN Verbindung hergestellt (Tunnel steht und ist grün):

 

Nun muss ich aber lokal noch 1:1 naten damit ich auf die entfernten Clients zugreifen kann:

Die lokalen IP Adressen 10.210.10.X müssen auf das müssen auf den lokalen-NAT-IP-Pool 10.54.237.0/28 genated werden. Als nächstes muss der lokale NAT-IP-Pool weiter genatet werden und zwar:

10.54.237.1 (lokales NAT-Netz) auf 10.125.43.1 (Remote Subnet)

10.54.237.2 (lokales NAT-Netz) auf 10.125.43.2 (Remote Subnet)

10.54.237.3 (lokales NAT-Netz) auf 10.125.43.3 (Remote Subnet)

und so weiter.

Beispiel:

Wenn ich nun an einem lokalen Client mit der IP 10.210.10.X z.B. via RDP 10.54.237.1 eingebe, muss ich schlussendlich auf 10.125.43.1 verbunden/genatet werden. 

Kann mir jemand weiterhelfen?

Danke!

Gruss Reto

 

  • Ich verstehe gerade nicht ganz, welche Seite das NAT machen soll.

    Kannst du eine Zeichnung machen? Mit beiden Peers des Tunnels und wo welches Netz Anliegt. 

  • In reply to LuCar Toni:

    Hallo Toni,

    Danke für die Antwort!

    Gerne nachfolgend eine Zeichnung mit Beschreibung, ich hoffe es wird klarer:

    Danke&Gruss Reto

  • In reply to Reto:

    Ich würde nun sagen, dass ist nicht mit XG möglich.

     

    Du möchtest also grundsätzlich, dass XG eine SNAT IP verwendet, wenn man mit einer bestimmten Destination IP spricht, korrekt? 

     

    XG arbeiten anders. Wir natten anhand von Source IP, nicht Destination IP. 

    Wir können 10.210.10.1 auf 10.54.237.1 umsetzen und so weiter. 

    Ein wirkliches 1:1 NAT ist das nicht, da man (meines Verständnis nach) bei dem 1:1 NAT von Networks spricht. Du machst eigentlich nur eine SNAT anhand anhand eines Kriteriums Destination NAT.

     

    BTW. die UTM kann das. 

     

     

    PS: man kann das Konstrukt mit 3 IPsec Tunneln auch abbilden. 

    Jeder IPsec Tunnel hätte einfach eine Destination IP (10.125.43.3) und man führt ein SNAT auf die entsprechende IP im Tunnel durch. Das würde gehen mit XG. 

  • In reply to LuCar Toni:

    Hi Toni,

    Danke für die Antwort.

    Ach nein, wir haben extra von der UTM auf XG geupdatet, da die UTM kein IKEV2 kann, was wir in diesem Fall benötigen und nun kann die XG kein Destination NAT! 

     

    "Du möchtest also grundsätzlich, dass XG eine SNAT IP verwendet, wenn man mit einer bestimmten Destination IP spricht, korrekt? "

    genau, das möchten wir.

     

    "Wir können 10.210.10.1 auf 10.54.237.1 umsetzen und so weiter. "

    Das ist leider auch keine Lösung, da ja sonst immer die lokale IP geändert werden müsste oder die Firewall Rule wenn mehrer unterschiedliche Arbeitsplätze zugreifen möchten.

     

    "PS: man kann das Konstrukt mit 3 IPsec Tunneln auch abbilden. 

    Jeder IPsec Tunnel hätte einfach eine Destination IP (10.125.43.3) und man führt ein SNAT auf die entsprechende IP im Tunnel durch. Das würde gehen mit XG"

    Wenn das eine Lösung wäre könnte man es sicher mal probieren. Aber leider weiß ich nicht genau, wie ich dies konfigurieren kann. Kannst du das noch etwas ausführen?

     

    Danke!

    Gruss Reto

  • In reply to LuCar Toni:

    Hi Toni,

     

    Könntest du mir das Vorgehen:

    "PS: man kann das Konstrukt mit 3 IPsec Tunneln auch abbilden. 

    Jeder IPsec Tunnel hätte einfach eine Destination IP (10.125.43.3) und man führt ein SNAT auf die entsprechende IP im Tunnel durch. Das würde gehen mit XG"

    noch etwas genauer erklären? Würde dies gerne mal so ausprobieren.

    Danke&Gruss Reto