VPN Tunnel zwischen gleichen Netzen

Machbar über Natting ist das ganze schon, aber nicht wirklich sinnvoll.

Das Netzdesign ist in deinem Beispiel absolut suboptimal. Ein Redesign der benutzen Netze sollte hier durchgeführt werden so das eben nicht auf beiden Seiten komplett die gleichen Netze laufen. 
Sollte dies nicht möglich sein muss auf beiden Seiten entsprechend genattet werden damit ein Routing überhaupt möglich ist.

Ein Redesign ist leider nicht möglich, ich habe es einmal versucht, - >

Ich habe also ein Transfernetz aufgebaut ClientA 10.1.1.0/24 und ClientB 10.1.2.0/24 und mit in den Tunnel gelegt. Dann habe ich unter Definitions für ClientA noch 10.1.1.10 und ClientB 10.1.2.50 angelegt.

Ziel ist erst einmal das sich 192.168.123.10 und 192.168.123.50 pingen können.

Dann auf Client A ein SNAT:  Datenverkehrsquelle:   192.168.123.10   (ClientA PC)
                                       Datenverkehrsdienst:   any
                                       Datenverkehrsziel:       10.1.2.50  (TransfernetzB PC)

                                       Quelle ändern in:         10.1.1.10  (TransfernetzA PC)

Dann auf Client B ein DNAT:  Datenverkehrsquelle:    10.1.1.10  (TransfernetzA PC)
                                       Datenverkehrsdienst:    any
                                       Datenverkehrsziel:        10.1.2.50  (TransfernetzB PC)

                                       Ziel ändern in:             192.168.123.50  (ClientB PC)

Firewallregel automatisch gesetzt, leider kommt kein Ping durch. Wäre vielleicht ein 1:1 NAT einfacher ? Ich glaube ich habe irgendwo den Wurm drin....

Ziel ist erst einmal das sich 192.168.123.10 und 192.168.123.50 pingen können.
Ich glaube ich habe irgendwo den Wurm drin....

Und genau dort liegt das Problem:

Rechner A mit IP 192.168.123.10 wird niemals den Ping bzw. das Netzwerkpaket für die Zieladresse 192.168.123.50 an das Gateway geben zum Routen, da die Zieladresse ja nunmal in seinem eigenen LAN liegt und deswegen per Definition kein Gateway angesprochen wird bzw. werden muss. TCP/IP-Grundlagen. 

Evtl. mit Host-Routen lösbar, da bin ich nicht sicher da niemals so genutzt. 
Einfachste Lösung ist hier SNAT auf einer Seite nutzen, dann ist z.b. Rechner A (orig. 192.168.123.10) für Rechner B nur als z.b. 192.168.124.10 sichtbar (SNAT von 192.168.123.10 auf 192.168.124.10)..

Edit: Einzige wirklich sinnvolle Lösung ist hier ein IP-Redesign... auch wenns schwer fällt...

Edit2: Mit Host-Routen auf allen Clients und auf der UTM wäre dein Szenario wohl irgendwie zum laufen zu bekommen....

(Sorry, my German-speaking brain isn't creating thoughts at the moment.[:(])

Since both sites have an Astaro, you could use a RED tunnel to bridge the two networks, but you would need to have a single DHCP server instead of one at each site.  It's simple, you just bridge the reds0 interface to eth0 in each location.  Take care to not have duplicate IPs.

Of course, the preferred solution is an IPsec tunnel between sites using a different local subnet.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Danke für die Antworten....logische, ein Redesign wäre die einfachste Lösung.

In einenem alten Thread (https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/58466 ) wird über eine Lösung mit zwei gleichen Netzten debattiert. Es müsste also theoretisch auch mit den Hilfsnetzten möglich sein.
Mein Ehrgeiz ist geweckt es mit dem Hilfsnetzten hinzubekommen, trete aber noch auf der Stelle ;-(

Ok. Die Lösung wäre dann:
- 2 Transfernetze erstellen (eins auf Site A eins auf Site B) 
- Tunnel zwischen den beiden Transfernetzen
- jeweils auf beiden Seiten SNAT/DNAT für die Transfernetze mit den Quellnetzen rein

Die beiden Transfernetzte habe ich erstellt und liegen im eigentlichen Tunnel (brauchen die Transfernetze einen seperaten Tunnel? )

Würden so die korrekten Einstellungen aussehen, bin etwas verwirrt jetzt...


Dann auf Client A ein SNAT: Datenverkehrsquelle: 10.1.1.10 (TransfernetzA PC)
Datenverkehrsdienst: any
Datenverkehrsziel: 10.1.2.50 (TransfernetzB PC)

Quelle ändern in: 192.168.123.10 (ClientA PC)

Dann auf Client B ein DNAT: Datenverkehrsquelle: 10.1.2.50 (TransfernetzB PC)
Datenverkehrsdienst: any
Datenverkehrsziel: 10.1.1.10 (TransfernetzA PC)

Ziel ändern in: 192.168.123.10 (ClientA PC)

Das gleiche dann noch mal in die andere Richtung...

ähm... du verwirrst mich grade.. 

ok.. erstmal alles definieren damit wir von der gleichen Basis ausgehen: 

SiteA:
LAN-Seite: NetzID? (z.b. 192.168.0.0/24) 
UTM Site A: welches Interface im LAN mit welcher IP
Tunnel Definition Seite A zu Seite B

IP eines Rechners SeiteA

SiteB:
LAN-Seite: NetzID? (z.b. 192.168.0.0/24) 
UTM Site B: welches Interface im LAN mit welcher IP
Tunnel Definition Seite B

IP eines Rechners SeiteB


Um dein Problem zu lösen müssen wir erstmal von der gleichen Basis sprechen ;-)

SiteA:
LAN-Seite: eth1 192.168.1.10/24
UTM Site A: eth4 192.168.123.1/24
Tunnel Definition Seite A zu Seite B: SSL Tunnel
192.168.123.0  
10.1.1.0           

IP eines Rechners SeiteA : 192.168.123.10

SiteB:
LAN-Seite: eth1 192.168.1.20/24
UTM Site B: eth4 192.168.123.1/24
Tunnel Definition Seite B
192.168.123.0  
10.1.2.0  

IP eines Rechners SeiteB: 192.168.123.50

Wozu sind die 192.168.1.x Adressen jeweils an eth1? 
Deine Rechner sind im 192.168.123.0/24 Netz auf beiden Seiten und haben als GW 192.168.123.1 eingetragen? Und nur diese beiden Seiten sollen untereinander Daten austauschen?