Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 1826 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem mit Routing/NAT/S2S

wischmopp90
Hallo,

wir haben einen Site-to-Site IPSec Tunnel zu einem Kunden. Dieser Funktioniert einbahnfrei. Nun möchte der Kunde aber nichtmehr das wir uns mit unserem Lokalen Netz bei ihm einwählen (192.168.2.0/24) sonder hat uns eine IP-Adresse genannt (172.18.192.3) mit welcher wir uns Verbinden sollen.

Frage: Wie können wir das Realisieren? Ist ein NAT oder sowas möglich? Wenn: Wie? Lässt sich das für das ganze Netz realisieren oder nur für einen PC?

ASG120 v7.405

Gruß Fabian Otto


This thread was automatically locked due to age.
Parents
  • 0
    Hi

    geht - kein Problem - du baust den Tunnel eben nur für die eine Adresse und machst ein NAT von eurem internen Netz auf eben diese Adresse - mache ich so bei diversen Tunneln.

    Gruß Stefan
  • 0 in reply to Stefan
    Hallo Steffan,

    das es geht ist schon mal super. Wir haben diesen tollen Gold-Support gekauft, doch leider ist die Firma die uns da unterstützen soll nicht wirklich eine Hilfe. Kannst du mir etwas genauer erklären was wir machen sollen?

    Gruß Fabian Otto
  • 0 in reply to wischmopp90
    Hallo

    also erstmal muß der Tunnel geändert werden. Site-to-Site VPN; IPSec; der entsprechende Tunnel - edit - Local Networks - hier muß die IP-Adresse (172.18.192.3) eingetragen werden, die Ihr verwenden sollt. Die Gegenseite muß natürlich auch den Tunnel ändern und dort bei Remote Sites auch genau diese Nummer eintragen.
    Damit hab ihr dann einen Tunnel, der denkt, ihr habt die IP-Nummer 172.18.192.3 auf eurer Seite.

    Jetzt muß noch dafür gesorgt werden, das ihr diese IP-Nummer auch wirklich habt. Hierzu kannst du ein SNAT einrichten (Network-Security - NAT - DNAT/SNAT)
    internes Netz -> ANY (service) -> (Zielsystem beim Partner)
    Source translation auf 172.18.192.3

    Damit wird bei allen Datenpakete, die zum Zielsystem wollen, die passende Source-Adresse eingetragen und das Paket fliegt durch den Tunnel.
    (Wenn es wieder zurück kommt sorgt die Astaro schon dafür, das es zum richtigen Gerät bei euch zugestellt wird - stateful Inspektion)

    Jetzt brauchst du noch die Passenden Paketfilterregeln:
    internes Netz -> ANY (service) -> (Zielsystem beim Partner) - ALLOW

    Dann sollte der Zugriff von euch auf die Systeme des Anderen funktionieren.
    Spannend wird es, wenn der Tunnel auch noch in der anderen Richtung funktionieren soll - dann müsst ihr das ganze nochmal machen aber aus der anderen Richtung oder du richtest ein DNAT für den entsprechenden Server ein, der erreicht werden soll.

    Ich hoffe, es ist etwas klarer geworden - wenn nicht, einfach nochmal fragen.

    Gruß Stefan
  • 0 in reply to Stefan
    SUPER! [:)] Es geht. Ich war zwar dicht dran, aber bei der definition von DNAT/SNAT hat gehapert. Jetzt geht's. Freue mich schon das unserem Chef zu erzählen, dann wird der Support wohl an eine andere Firma gehen (oder an dich? xD).

    Gruß Fabian
Reply
  • 0 in reply to Stefan
    SUPER! [:)] Es geht. Ich war zwar dicht dran, aber bei der definition von DNAT/SNAT hat gehapert. Jetzt geht's. Freue mich schon das unserem Chef zu erzählen, dann wird der Support wohl an eine andere Firma gehen (oder an dich? xD).

    Gruß Fabian
Children
No Data
Unfiltered HTML