Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Tunnel zwischen gleichen Netzen

Hallo,

ich hätte folgende Frage. Ist es möglich einen Tunnel zwischen 2 gleichen Netzen aufzubauen. Ich hätte folgenden Fall.

SiteA: Astaro    eth1 192.168.1.10 - Tunnel zu SideB
                      eth4 192.168.123.0   -  PC 192.168.123.10

SiteB: Astaro    eth1 192.168.1.20 - Tunnel zu Side A
                     eth4  192.168.123.0  - PC 192.168.123.50

Es gab schon mal vor ein paar Jahren mal ein Thread da wurde das Problem auch beschrieben. Der SSL Tunnel zwischen eth1 läuft. 
Ein Transfernetz habe ich jeweils auf beiden Seiten angelegt 10.1.1.0/24 und
10.1.2.0/24 und läuft im gleichen Tunnel.
Bei den DNat uns SNat einstellungen hört mein Latain dann auf. bzw. ist es überhaupt möglich ?

[:)][:S][:S]


This thread was automatically locked due to age.
  • Die beiden Adressen an eth1 bauen den eigentlichen VPN Tunnel auf. Richtig, die beiden Rechner hängen im 192.168.123.0/24 Netz, GW ist die 192.168.123.1
    Und die beiden Rechner sollen miteinander reden ;-)
  • Ok. Dir ist klar das du nicht die richtigen Adressen ansprechen kannst. Also ein Ping von dem PC 192.168.123.10 auf 192.168.123.50 wird nicht klappen ausser du verbiegst noch entsprechend das Host-Routing.. Bei dem Verbiegen mit SNAT/DNAT müssen die NAT-Adressen genutzt werden...

    Du hast 2 Transfernetze diese musst du für das natting nutzen..

    SNAT Seite A:
    Quelle: 192.168.123.10
    Service: any
    Ziel: 10.1.2.1 
    Source Translation: 10.1.1.1

    DNAT Seite B:
    Quelle: 10.1.1.1
    Service: any
    Ziel: 10.1.2.1
    Destination translation: 192.168.123.50

    Und das ganze dann umgekehrt. 

    Somit kann dann der Rechner 192.168.123.10 einen Ping auf 10.1.2.1 machen und erreicht damit dann 192.168.123.50 auf der anderen Seite durch den Tunnel. 
    (Passende Routing und Packet-Filter Regeln müssen da sein). 


    Wenn du mit den gleichen Adressen arbeiten willst hilft hier der Tipp von Bob.. Bridging ist hier eine feine Lösung... allerdings geht auch jeder Broadcast-Traffic dann über die Bridge bzw. den Tunnel...

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • Ahhh, ok. werde es jetzt gleich mal ausprobieren....In Progress...
  • Aslo der Ping von Rechner 192.168.123.10  auf 10.1.2.1 funktioniert jetz schon einmal. ;-)
    Aber beim Routing von  10.1.2.1 auf die 192.168.123.50 hakt es noch, wie würde die entsprechende Regel aussehen ?
  • ?? Wenn der Ping funktioniert sollte es doch passen?

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • Ähm, Ping von 192.168.123.10 auf 10.1.2.1 geht, von 192.168.123.10 auf 192.168.123.50 geht nicht. Fehtlt da noch die Route?
  • Nochmal: 
    Bei deinem Netzdesign mit nem IP-Tunnel und DNAT / SNAT Regeln kannst du als Zieladresse nicht 192.168.123.50 nehmen. 

    Lösungen hierfür wären eventuell (keine Ahnung ob das funktioniert):

    - Bridging verwenden wie von Bob beschrieben. Dann kannst du auf beiden Seiten das gleiche Netz benutzen aber nicht die gleichen IP-Adressen

    - Host-Routen für jede einzelne Adresse
    Host-Routen bedeutet das du z.b. auf einem windows-pc folgendes machen musst:
    route add 192.198.123.50 MASK 255.255.255.255 192.168.123.1

    ebenso musst du das host routing auf den utms machen aber in den tunnel rein.

    ob das wirklich funktioniert weiss ich allerdings so nicht... 

    probiers mal...

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • Du brauchst auf jeder Seite 2 1:1 NATs:
    - 1:1 source map vom lokalen Netz auf das lokale Transitnetz (für ausgehenden Traffic)
    - 1:1 destination map vom lokalen Transitnetz auf lokales Netz (für eingehenden Traffic)

    Tunnel zwischen den beiden Transitnetzen

    Um einen Rechner auf dem remote LAN zu erreichen, musst du die zugeordnete Adresse im remote Transitnetz ansprechen