Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 819 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC zu Kunden mit gleichem Netz

Susi@DRK
Mahlzeit,

ich stehe wiedermal vor einem für mich unlösbaren Problem.
Wir möchten gern IPSEC Tunnel zu Arztpraxen und Supportanbietern herstellen. Nun haben wir aber das Problem, dass vorallem in den Arztpraxen die Netzwerke sehr oft im IPbereich 192.168.0.x liegen. Die Astaro (unsere) baut zwar beide Tunnel auf, aber die Pakete kommen nicht durchgängig an. 
Ich hab schon bis ans Ende des Internets gegoogelt und mit NAT und SNAT rumgespielt, aber geklappt hats nie so wirklich.
Der Aufbau:
Unser Netz: 172.20.x.x (Astaro GW)
Praxis1: 192.168.0.x (Astaro GW)
Praxis2: 192.168.0.x (Astaro GW)
Unser Netz --> Tunnel --> Praxis1
Unser Netz --> Tunnel --> Praxis2

Hat eventuelle jemdend eine Lösung für mein Problem? Vielen Dank im Voraus.


This thread was automatically locked due to age.
Parents
  • 0
    Zu Wartungszwecken bietet sich ein RoadWarrior VPN-Zugang an, anstatt Site2Site-Tunnels.

    Das Problem ist ja, dass die Netzrouten nicht mehr eindeutig sind. Der RoadWarrior-Tunnel würde eben immer bei Bedarf aufgebaut.
Reply
  • 0
    Zu Wartungszwecken bietet sich ein RoadWarrior VPN-Zugang an, anstatt Site2Site-Tunnels.

    Das Problem ist ja, dass die Netzrouten nicht mehr eindeutig sind. Der RoadWarrior-Tunnel würde eben immer bei Bedarf aufgebaut.
Children
  • 0 in reply to trollvottel
    Danke für die schnelle Anwort.
    Das würde schon gehen, ist teilweise auch so bereits eingerichtet. Aber in den Praxis wo viel auf unser Netz zugegriffen werden muss, is das nich so dolle. Von daher würde ich einen festen Tunnel schon vorziehen.
  • 0 in reply to Susi@DRK
    Soll über den Tunnel eine N zu 1 Verbindung realisiert werden ?
    zb. von Zentrale gehen mehrere Supporter via RDP auf 1 Server in der Praxis
    Das kann man mit einem "Transfer"-Netz und Dnat lösen.

    Praxis 1 hat 192.168.0.x/24 und einen Sserver mit 192.168.0.20
    Transfernetz für Praxis1 172.21.1.0/24 und TransferIP für Server1 172.21.1.20
    Dann baust du einen Tunnel zwischen 172.20.x.x und 172.21.1.0/24
    Dann brauchst du noch eine DNAT Regel
    von 172.16.x.x -> RDP -> 172.21.1.20 -> RDP -> 192.168.0.20

    Wenn jetzt der Server 192.168.0.20 via FTP was auf 172.20.x.y ablegen soll
    brauchst du zusätzlich eine SNAT Regel
    von 192.168.0.20 -> ftp -> 172.20.x.y -> Snat 172.21.1.20



    Gregor Kemter
  • 0 in reply to gkemter
    Der Königsweg für Kommunikation ohne NAT-Krücken ist allerdings folgender: Eindeutige IP-Subnetze verwenden. Auch wenn das ein Umkonfigurieren vorhandener Netze bedeutet.
Unfiltered HTML