Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 38 subscribers
  • Views 20838 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Tunnel zwischen gleichen Netzen

Astaro0815
Hallo,

ich hätte folgende Frage. Ist es möglich einen Tunnel zwischen 2 gleichen Netzen aufzubauen. Ich hätte folgenden Fall.

SiteA: Astaro    eth1 192.168.1.10 - Tunnel zu SideB
                      eth4 192.168.123.0   -  PC 192.168.123.10

SiteB: Astaro    eth1 192.168.1.20 - Tunnel zu Side A
                     eth4  192.168.123.0  - PC 192.168.123.50

Es gab schon mal vor ein paar Jahren mal ein Thread da wurde das Problem auch beschrieben. Der SSL Tunnel zwischen eth1 läuft. 
Ein Transfernetz habe ich jeweils auf beiden Seiten angelegt 10.1.1.0/24 und
10.1.2.0/24 und läuft im gleichen Tunnel.
Bei den DNat uns SNat einstellungen hört mein Latain dann auf. bzw. ist es überhaupt möglich ?

[:)][:S][:S]


This thread was automatically locked due to age.
Parents
  • 0
    Ein Redesign ist leider nicht möglich, ich habe es einmal versucht, - >

    Ich habe also ein Transfernetz aufgebaut ClientA 10.1.1.0/24 und ClientB 10.1.2.0/24 und mit in den Tunnel gelegt. Dann habe ich unter Definitions für ClientA noch 10.1.1.10 und ClientB 10.1.2.50 angelegt.

    Ziel ist erst einmal das sich 192.168.123.10 und 192.168.123.50 pingen können.

    Dann auf Client A ein SNAT:  Datenverkehrsquelle:   192.168.123.10   (ClientA PC)
                                           Datenverkehrsdienst:   any
                                           Datenverkehrsziel:       10.1.2.50  (TransfernetzB PC)

                                           Quelle ändern in:         10.1.1.10  (TransfernetzA PC)

    Dann auf Client B ein DNAT:  Datenverkehrsquelle:    10.1.1.10  (TransfernetzA PC)
                                           Datenverkehrsdienst:    any
                                           Datenverkehrsziel:        10.1.2.50  (TransfernetzB PC)

                                           Ziel ändern in:             192.168.123.50  (ClientB PC)

    Firewallregel automatisch gesetzt, leider kommt kein Ping durch. Wäre vielleicht ein 1:1 NAT einfacher ? Ich glaube ich habe irgendwo den Wurm drin....
Reply
  • 0
    Ein Redesign ist leider nicht möglich, ich habe es einmal versucht, - >

    Ich habe also ein Transfernetz aufgebaut ClientA 10.1.1.0/24 und ClientB 10.1.2.0/24 und mit in den Tunnel gelegt. Dann habe ich unter Definitions für ClientA noch 10.1.1.10 und ClientB 10.1.2.50 angelegt.

    Ziel ist erst einmal das sich 192.168.123.10 und 192.168.123.50 pingen können.

    Dann auf Client A ein SNAT:  Datenverkehrsquelle:   192.168.123.10   (ClientA PC)
                                           Datenverkehrsdienst:   any
                                           Datenverkehrsziel:       10.1.2.50  (TransfernetzB PC)

                                           Quelle ändern in:         10.1.1.10  (TransfernetzA PC)

    Dann auf Client B ein DNAT:  Datenverkehrsquelle:    10.1.1.10  (TransfernetzA PC)
                                           Datenverkehrsdienst:    any
                                           Datenverkehrsziel:        10.1.2.50  (TransfernetzB PC)

                                           Ziel ändern in:             192.168.123.50  (ClientB PC)

    Firewallregel automatisch gesetzt, leider kommt kein Ping durch. Wäre vielleicht ein 1:1 NAT einfacher ? Ich glaube ich habe irgendwo den Wurm drin....
Children
  • 0 in reply to Astaro0815

    Ziel ist erst einmal das sich 192.168.123.10 und 192.168.123.50 pingen können.
    Ich glaube ich habe irgendwo den Wurm drin....


    Und genau dort liegt das Problem:

    Rechner A mit IP 192.168.123.10 wird niemals den Ping bzw. das Netzwerkpaket für die Zieladresse 192.168.123.50 an das Gateway geben zum Routen, da die Zieladresse ja nunmal in seinem eigenen LAN liegt und deswegen per Definition kein Gateway angesprochen wird bzw. werden muss. TCP/IP-Grundlagen. 

    Evtl. mit Host-Routen lösbar, da bin ich nicht sicher da niemals so genutzt. 
    Einfachste Lösung ist hier SNAT auf einer Seite nutzen, dann ist z.b. Rechner A (orig. 192.168.123.10) für Rechner B nur als z.b. 192.168.124.10 sichtbar (SNAT von 192.168.123.10 auf 192.168.124.10)..

    Edit: Einzige wirklich sinnvolle Lösung ist hier ein IP-Redesign... auch wenns schwer fällt...

    Edit2: Mit Host-Routen auf allen Clients und auf der UTM wäre dein Szenario wohl irgendwie zum laufen zu bekommen....

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

Unfiltered HTML