Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 7235 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

gleiche Netze im VPN-Tunnel

nikfe
Hallo,

ich habe folgendes Problem.
Ich habe als lokales Netz das 192.168.1.0/23 auf meiner Astaro.
Jetzt habe ich einen VPN-Tunnel zu einer Firma in das Netz 192.168.40.0/24
erstellt.
Soweit alles kein Problem, das funktioniert auch.
Die Firma hat jedoch eine Globale Netzwerkgruppe erstellt, die 192.168.0.0, 255.255.0.0 ist, und da fällt mein Netz natürlich auch rein.
Und da fängt das Problem an. Wie kann ich jetzt auf das 40er Netz zugreifen, und das 40er Netz in mein 1er Netz?
Wenn irgendwie möglich möchte ich das Problem alles auf meiner Seite lösen.
NAT??? wie müsste das alles aussehen?
Wer kann mir helfen.
Vielen Dank im voraus
mfg
nikfe


This thread was automatically locked due to age.
Parents
  • 0
    ändere zb. Dein Netz auf 10.x.x.x/xx oder 172.16.x.x/xx oder so

    Gregor Kemter
  • 0 in reply to gkemter
    Hallo,
    das Netz änderen ist zur Zeit eigentlich so gut wie unmöglich.
    Aber da müsstet es doch sicher eine andere Möglichkeit geben oder?

    mfg
    nikfe
  • 0 in reply to nikfe
    Schau mal zum Thema bidirektionales NAT im Netz. Auf jeden Fall musst Du das VPN-Netz (nur das neu Virtuelle) in der Tunnel Definition ändern.

    Gruß
    Jürgen
  • 0 in reply to JFKtheSecond
    Also lege ich ein virtuelles VPN Netz an z.B. 10.10.50.0 und baue von dort aus
    den VPN Tunnel zur Gegenstelle auf.
    Dann erstelle ich eine SNAT Regel.
    Traffic Source: mein 192.168.1.0/23 LAN
    Traffice Service: any
    Traffice Destination: die zu erreichenden IP im 192.168.42.0 der Gegenstelle
    Nat mode: SNAT
    Source: das Gateway des virtuellen VPN-Netz, das ich gerade angelegt habe.
    Source Service: any

    müsste das so funktonieren, oder muss man am Routing auch noch was ändern?

    mfg
    nikfe
  • 0 in reply to nikfe
    Also lege ich ein virtuelles VPN Netz an z.B. 10.10.50.0 und baue von dort aus
    den VPN Tunnel zur Gegenstelle auf.

    A: Ja soweit stimmt das

    Traffic Source: mein 192.168.1.0/23 LAN

    A: Ich würde Dir empfehlen lieber eine 1:1 NAT (1xSNAT+1xDNAT-Regel)
    Also z.B.
    Traffic Source 192.168.1.2
    Traffice Service: any
    Traffice Destination: die zu erreichenden IP im 192.168.42.0 der Gegenstelle
    Nat mode SNAT
    Source: Die neue virtuelle IP aus Deinem 10-er Bereich z.B 10.10.50.2
    Alles andere "no change"

    Und das gleiche für den Rückweg.

    Also z.B.
    Traffic Source 192.168.42.0 (Netz vom Unternehmen)
    Traffice Service: any
    Traffice Destination: in diesem Beispiel die 10.10.50.2
    Nat mode DNAT
    Destination: 192.168.1.2
    Alles andere "no change"

    Dies gilt wenn beide Seiten aufeinander zugreifen müssen. Wenn Du "nur" in die Firma willst sollte der SNAT-Teil von oben mit Deinem Netz 192.168.1.0/24 in der Source reichen.

    Wichtig in der VPN-Definition darf kein Scrict Routing eingeschalten sein.

    Jetzt noch eine Zugriffsregel auf beiden Seiten des Tunnels und dann sollte es tun.

    Viel Glück.
    Jürgen
Reply
  • 0 in reply to nikfe
    Also lege ich ein virtuelles VPN Netz an z.B. 10.10.50.0 und baue von dort aus
    den VPN Tunnel zur Gegenstelle auf.

    A: Ja soweit stimmt das

    Traffic Source: mein 192.168.1.0/23 LAN

    A: Ich würde Dir empfehlen lieber eine 1:1 NAT (1xSNAT+1xDNAT-Regel)
    Also z.B.
    Traffic Source 192.168.1.2
    Traffice Service: any
    Traffice Destination: die zu erreichenden IP im 192.168.42.0 der Gegenstelle
    Nat mode SNAT
    Source: Die neue virtuelle IP aus Deinem 10-er Bereich z.B 10.10.50.2
    Alles andere "no change"

    Und das gleiche für den Rückweg.

    Also z.B.
    Traffic Source 192.168.42.0 (Netz vom Unternehmen)
    Traffice Service: any
    Traffice Destination: in diesem Beispiel die 10.10.50.2
    Nat mode DNAT
    Destination: 192.168.1.2
    Alles andere "no change"

    Dies gilt wenn beide Seiten aufeinander zugreifen müssen. Wenn Du "nur" in die Firma willst sollte der SNAT-Teil von oben mit Deinem Netz 192.168.1.0/24 in der Source reichen.

    Wichtig in der VPN-Definition darf kein Scrict Routing eingeschalten sein.

    Jetzt noch eine Zugriffsregel auf beiden Seiten des Tunnels und dann sollte es tun.

    Viel Glück.
    Jürgen
Children
  • 0 in reply to JFKtheSecond
    Hallo Jürgen,

    was meinst Du mit der Adresse 192.168.1.2?
    ich möchte mit meinem kompletten 192.168.1.0/23 Netz auf die IP 192.168.43.215 zugreifen können.

    wenn ich bei snat source mein internes lan eingeben, und bei ports any, dann werden doch alle anfragen nach 192.168.43.0 genatet oder?
  • 0 in reply to nikfe
    Hi nikfe,

    die IP war einfach nur ein Beispiel von einer bidirektionalen 1:1 Verbindung.

    Du wilst ja eine N:1 Verbinden und dann gilt der zweite Teil meines Beitrags.

    Gruß
    Jürgen
  • 0 in reply to JFKtheSecond
    Hallo,
    ich habe sämtliche Sachen ausprobiert, jedoch bekomme ich es leider nicht hin.

    neue Konstellation:
    Astaro -> VPN 
  • 0 in reply to nikfe
    Das kann man so lösen wie Jürgen es weiter oben beschrieben hat.

    bei gleichen Netzen, musst du 2 Transfernetze erstellen, 
    und einen Tunnel zwischen den beiden Transfernetzen aufbauen.
    Das sollte kein Problem sein.

    Anschliessend musst du den ganzen traffic in beide Richtungen SNAT/DNAT en.

    Habe sowas schon mal für folgendes Szenario realisert:
    Lan A greift auf AS400 in Lan B (Lan A und B haben gleiches Subnetz oder werden verwendet)
    AS400 druckt auf drei Printserver in LAN A.

    Gregor Kemter
  • 0 in reply to gkemter
    und wo muss ich das Transfernetz anlegen?
    ->Network -> Interfaces -> Additional Addresses ??

    und wie sehen Die NAT Regeln aus??
  • 0 in reply to nikfe
    und wo muss ich das Transfernetz anlegen?
    ->Network -> Interfaces -> Additional Addresses ??


    unter Definitions -> Networks

    Zu den Snat/Dnat Regeln, wenn es wirklich N:N sein soll, dann werden das ganz viele Regeln und Definitionen werden.

    Standort A -> TransferNetz 10.1.1.0/24
    Standort B -> TransferNetz 10.1.2.0/24
    Zwischen den beiden Netzen ein Tunnel aufbauen.

    Beispiel für SNAT
    Standort A Client 192.168.0.33 soll zb. via RDP auf Server 192.168.0.25 am Standort B zugreifen. 

    SNAT bei A
    Source 192.168.0.33 
    Service ANY oder rdp
    Destination 10.1.2.25
    Snat Source 10.1.1.33

    DNAT bei B
    Source 10.1.1.33 
    Service ANY
    Destination 10.1.2.25
    Dnat Dest 192.168.0.25

    Falls ich mich nirgendwo vertippt habe, sollte das laufen (entsprechende PF-rules vorausgesetzt)

    Gregor Kemter
Unfiltered HTML