This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN, SNAT IPSEC VPN

Hi,

komme nicht ganz weiter.

Ich habe eine IPSec Tunnel zu einem Kunden. Dieser gibt mir das Netz vor, von welchem die Anfragen kommen müssen.192.168.132.192 /28

Der Admin meinste dass ich das per SNAT machen soll. Keine Ahnung wie ich das jetzt anstelle.

Ziehl ist es über den SSL VPN zugriff auf das Netz zu bekommen

SSL VPN Netz 10.0.34.X/24 --> 192.168.132.192/28 --> 10.80.77.X/24 (Kunden Netz)

In das SSL VPN Netz wählen sich die Techniker ein, dann habe ich entsprechende Firewallregeln, um auf die Kundennetze zuzugreifen.

Hat einer eine Idee wie ich das in der UTM einrichten kann?

Der Teunnel drirekt 10.0.34.X/24 --> 10.80.77.X/24 würde laufen. Mein 10.0.34.X wird nicht unterstützt, bzw. ist nicht gewünscht.



This thread was automatically locked due to age.
Parents
  • Hallo,

    du könntest das per Source-NAT einfach auf eine gewünschte IP in dem gewünschten Netzwerk "maskieren" z.B. auf  IP 192.168.132.193 (ein 1:1 NAT geht nicht weil dein Netz größer ist /24 gegenüber /28)

    Also SNAT:

    Quelle: 10.0.34.X/24

    Dienst: any (oder ggf. anpassen)

    Ziel: 10.80.77.X/24

    Quelle ändern in:  Host-IP: 192.168.132.193

    Zusätzlich musst du aber das VPN anpassen und statt deinem Netz 10.0.34.X/24 das gewünschte Netz 192.168.132.192/28 als DEIN lokales Netzwerk angeben (die Gegenstelle bei sich dann enstprechend 192.168.132.192/28 statt 10.0.34.X/24 als Remote-Netzwerk).

    Dann würde alles, was von dir kommt beim gegenüber mit IP 192.168.132.193 ankommen. D.h. alles was von dir kommt und da rüber will sollte dann gehen!

    Schwierig wäre dann nur, wenn der Gegenüber zu dir müsste, da müsstest du dann ggf. zusätzlich noch eine Portweiterleitung/DNAT einrichten und dann in dein richtiges 10.0.34.X/24 bzw. auf einen einzelnen Host bei dir leiten ...

    Gruß Steve

Reply
  • Hallo,

    du könntest das per Source-NAT einfach auf eine gewünschte IP in dem gewünschten Netzwerk "maskieren" z.B. auf  IP 192.168.132.193 (ein 1:1 NAT geht nicht weil dein Netz größer ist /24 gegenüber /28)

    Also SNAT:

    Quelle: 10.0.34.X/24

    Dienst: any (oder ggf. anpassen)

    Ziel: 10.80.77.X/24

    Quelle ändern in:  Host-IP: 192.168.132.193

    Zusätzlich musst du aber das VPN anpassen und statt deinem Netz 10.0.34.X/24 das gewünschte Netz 192.168.132.192/28 als DEIN lokales Netzwerk angeben (die Gegenstelle bei sich dann enstprechend 192.168.132.192/28 statt 10.0.34.X/24 als Remote-Netzwerk).

    Dann würde alles, was von dir kommt beim gegenüber mit IP 192.168.132.193 ankommen. D.h. alles was von dir kommt und da rüber will sollte dann gehen!

    Schwierig wäre dann nur, wenn der Gegenüber zu dir müsste, da müsstest du dann ggf. zusätzlich noch eine Portweiterleitung/DNAT einrichten und dann in dein richtiges 10.0.34.X/24 bzw. auf einen einzelnen Host bei dir leiten ...

    Gruß Steve

Children