2 Standorte gleiches internes Netz, Site-to-Site IPsec

(Sorry, zu früh, um mein Deutsch heute Morgen zu testen, haha)

Interesting that you have a NAT.  I have IPsec site-to-site setup as well and I didn't use any NAT and can connect to either side just fine.  Have you tried without the NAT?

Site-to-site is not a problem if both sites have different internal networks.
Here, however, both sites have the same internal network.
Therefore, fake networks were created for the IPsec.
For this then the NAT, see linked instructions.
But still it does not work...

Did you try unchecking the 'Automatic Firewall rule'?  I seem to remember this being an issue on something I recently read about site-to-site.

Hallo Holger,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

Here's another resource that describes the solution you're trying: More VPN between same subnets.

If you still need help, please insert pictures of the Edits of the IPsec Connection and Remote Gateway from each Standort.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Bob,

hier einige weitere Screenshots:

Standort 1:

Standort 2:

Kannst Du einen Fehler finden ?

Vielen Dank für deine Hilfe !

Gruß Holger

In Standort 1, sind VPN_UTM2 und VPN_UTM1 umgekehrt.

MfG - Bob

Sorry, Bilder verwechselt. Hier die richtigen Screenshots von Standort 1:

Der Tunnel ist grün, trotzdem kann ich von Standort 1 nicht 192.168.169.230 an Standort 2 erreichen.

MfG Holger

If ping is enabled, do you get a response if you ping 192.168.190.230 from Standort 1?

MfG - Bob (Bitte auf Deutsch weiterhin.)

Moin Holger

Deine Konfiguration sieht eigentlich gut aus.

Die Frage ist, wie sprichst Du die Gegenseite an?

Wenn Du von Standort A ein System in Standort B erreichen willst, musst Du die IP nutzen, die Du dem Standort B in Standort A für das System zugeornet hast.

Beispiel: 192.168.169.1-A will 192.168.169.1-B erreichen -> Du musst also die Fake-Netz-IP von Standort B ansprechen: Ping 192.168.190.1

Du solltest in den NAT-Regeln und in den automatischen Firewallregeln das Logging aktivieren (in den NAT-Regeln unter "advanced"  "Log initial packets" -> die werden im Log als weiße Linien angezeigt und in den automatischen FW-Regeln unter "advanced" "Log traffic" -> die werden dann grün angezeigt).

Noch ein Hinweis: Deine ssl-Pool-Netze erreichen sich über Dein Konstrukt gegenseitig (allerdings nur, wenn sie sich unterscheiden). Aber sie erreichen nicht das gegenüberliegende LAN.
Hier musst Du ebenfalls noch mit 1:1-Regeln arbeiten. Am einfachsten genauso wie bei deiner LAN-Übersetzung.

Oh - und noch ein Hinweis: Wenn Du ICMP in den Logs sehen willst, musst Du unter "Firewall", Reiter "ICMP" den Haken bei "Gateway forwards pings" rausnehmen und auch die traceroute-Haken entfernen (das hat Bob bestimmt auch in seinen "Rulz" beschrieben).

LG, Janbo

Der Ping auf 192.168.190.230 ist erfolgreich.

Mit den 180 und 190er Adressen kann ich jetzt arbeiten.

Allerdings löst das mein Problem noch nicht ganz (oder ich verstehe es nur nicht richtig):

Ich habe am Standort 1 derzeit zwei VM's (DC und Exch) im Netz 192.168.169.0 laufen.

Diese sollen an Standort 2 wechseln, aber für Domain-Member am Standort 1 erreichbar bleiben.

Also muß ich doch auch das Netz 192.168.169.0 direkt ansprechen können ?

Oder wie kann ich das realisieren ? Die IP's von DC und Exch will ich ungern ändern, und das ganze Netz am Standort 1 ändern auch nicht wirklich. Evtl. eine Route ?

Würde es funktionieren am Standort 1 ein Netz 192.168.169.0/25 und am Standort 2 ein Netz 192168.169.192/26 anzulegen und damit eine Site-to-Site IPsec ?

Vielen Dank für eure Bemühungen !

Gruß Holger