Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN im gleichen Subnetz

heyho,

ich sitze gerade an einem Problem, bei dem ich nicht weiterkomme.

Ich arbeite für 2 Unternehmen, die leider das gleiche Subnetz haben (sagen wir mal 192.168.1.0 /24).
Da ich häufiger von Unternehmen1 auf das interne Netzwerk von Unternehmen2 (und umgekehrt) zugreifen muss, ist es für eine VPN-Verbindung problematisch.

Ich habe es nun mit einer 1:1 NAT-Regel versucht, die von meinem User-Network auf das 1:1-NAT (z.B. 192.168.2.0 /24) zum eigentlichen LAN (also wieder 192.168.1.0 /24) mapped.

Ich kann nun zwar eine Verbindung von Unternehmen1 nach Unternehmen2 aufbauen (bisher nur in die Richtung getestet), allerdings kann ich, solange die VPN-Verbindung verbunden ist, auch nur auf das Netzwerk von Unternehmen2 zugreifen.
Beispiel: webservice.unternehmen2.local ist unter 192.168.1.230 und 192.168.2.230 erreichbar,
webservice.unternehmen1.local im eigentlichen Netzwerk unter 192.168.1.240 ist allerdings nicht erreichbar.

Seit kurzem haben nun auch beide Unternehmen eine Sophos UTM (ASG220 / SG210).

Nun die Frage: Gibt es eine Konfigurationsmöglichkeit, sodass durch die VPN-Verbindung nur das NAT-Netzwerk (also 192.168.2.0 /24) betroffen ist und ich das eigene LAN (192.168.1.0 /24) noch normal nutzen kann?
Auf DNS im VPN-Netzwerk könnte ich auch verzichten, wenn dies schwerer zu gestalten wäre).


This thread was automatically locked due to age.
  • Hi nofuture,

    versuche mal die Anleitung aus diesem Thread:

    https://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/28020-how-set-up-vpn-connection-between-2-same-networks.html

    Der letzte Eintrag vom TE war:

    Thx 2 all 4 your help.

    We realized it follow:
    - Added an Additional Adress on both sides of asg (on internal interface 10.1.1.30)
    --> Loc. A: 192.168.10.0/24
    --> Loc. B: 192.168.11.0/24
    - Connected both new (virtual) Networks via Site-to-Site VPN
    - Created a SNAT at Loc. A
    - Added a routing entry at GSERVER02 (at Loc. A) for the clients (192.168.11.0 -> 10.1.1.30)
    - Added at the License Servers (at Loc. B) a 2nd IP-Adress (192.168.11.24;192.168.11.6)
    - Added at the License Servers (at Loc. B) a permanent routing entry (192.168.10.0 -> 192.168.11.254)

    The clients (the software) access the license server over the 2nd ip-adress.

    It works!


    Sollte so eigentlich funktionieren mit einem Transfernetzwerk. Mit zwei UTMs kannst du dir auch mal das UTM-Network anschauen und evtl mit ner Bridge versuchen. Hab sowas aber noch nie getestet.

    LG
  • Hi wiLLow,

    vielen Dank für den Verweis auf den Thread.

    Leider kann ich die Anleitung nicht einfach komplett übernehmen, da ein site-to-site-VPN nicht in Frage kommt, da es sich um 2 unterschiedliche Unternehmen handelt.
    Im Endeffekt gibt es nur 2 Benutzer, die von Unternehmen1 nach Unternehmen2 oder umgekehrt zugreifen können dürfen.

    Ich werde es am Wochenende mal ausgiebig testen und gebe anschließend bescheid, ob es noch Probleme gibt oder nicht.



    Grüße
    nofuture