Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT Unterstützung

Morgen zusammen...
Irgendwie habe ich gerade eine Blockade was den Aufbau von NAT betrifft...

Folgendes Konstrukt existiert...
Eine ASG220, ein Nortel Switch (Kundennetze abgeschlossen auf VLAN) und eine DMZ.
Zur Zeit erreiche ich alle Rechner die ich benötige.

Nun ist durch ein Projekt die Aufgabe gekommen, jeden Kunden mit NAT-Adressen zu erreichen...

Vielleicht mal ein Beispiel...
Als VLAN2 (IP: 10.144.122.2) ist der Kunde A.
An den Switch auf VLAN2 hängt eine VPN-Box (IP: 10.144.122.1).
Ich muss in diesem Kundennetz folgendes Netzwerk erreichen: 10.167.50.0

Durch Gatewayroutes läuft das zur Zeit auch bestens.
Aus meiner DMZ (192.168.2.0) werden die Server alle erreicht.

Jetzt sollen diese Server per NAT aus meiner DMZ erreicht werden.

Mein Denkansatz war folgender:

  • Addional Adresses 172.16.1.0 auf das Interface der DMZ
  • DNAT der einzelnen IPadressen zu den erreichenden Kundenadressen

Ein Test zeigte das ich die Adressen des Kunden dann auch über die 172-er Adressen erreiche.

Jetzt kommt aber mein Denkproblem...
Muss ich die Gatewayroutes auf Policy-Gatewayroutes abändern?
Ansonsten kann ich die Server auch weiter über die alte IPadresse erreichen.

Kann mir da mal einer auf die Sprünge helfen?
Danke schon mal im vorraus...
Gruß
Sascha


This thread was automatically locked due to age.
Parents
  • Nur mal eine Verständnisfrage....mußt Du das Kundennetz über die VPN-Box erreichen ?

    Für NAT musst Du nicht unbedingt eine zusätzliche IP auf das Interface bringen, denn das funktioniert auch ohne.

    Ansonsten kann ich die Server auch weiter über die alte IPadresse erreichen.
     Einfach eine Deny Regel angelegen, dann ist das auch nicht mehr möglich... ;-)

    Gruß
     Claus
Reply
  • Nur mal eine Verständnisfrage....mußt Du das Kundennetz über die VPN-Box erreichen ?

    Für NAT musst Du nicht unbedingt eine zusätzliche IP auf das Interface bringen, denn das funktioniert auch ohne.

    Ansonsten kann ich die Server auch weiter über die alte IPadresse erreichen.
     Einfach eine Deny Regel angelegen, dann ist das auch nicht mehr möglich... ;-)

    Gruß
     Claus
Children
  • Nur mal eine Verständnisfrage....mußt Du das Kundennetz über die VPN-Box erreichen ?

    Ja... Es sind externe Kunden und die erreichen wir nur über eine VPN-Box.

    Für NAT musst Du nicht unbedingt eine zusätzliche IP auf das Interface bringen, denn das funktioniert auch ohne.

    Definiere ich nur IP-Ranges die für das Natting genutzt werden?
    Jetzt habe ich halt einen Range zusätzlich auf die DMZ-Schnittstelle hinzugefügt.