albertminrich
Goto Top

2 Fremdfirmen mit gleicher IP-Range anbinden?

Hallo,

unser internes Netz ist 172.16.210.x
Wir haben eine VPN-Verbindung zu Firma A, deren Netz ist 192.168.111.x,
also so:
vpn_bild1
Gegenseitiger Zugriff funktioniert.

Jetzt soll eine zweite Firma (Firma B) ebenfalls per VPN angebunden werden, deren Netz ist ebenfalls 192.168.111.x, also so:
vpn_bild2

Ich kann ja das Netz 192.168.111.x logischerweise nur in eine Richtung routen, entweder zu Firma A oder zu Firma B.
Relativ einfach könnte man das lösen, wenn Firma B ein Source-NAT macht, dann kommen die eben nicht mit der 192.168.111.x bei uns an, sondern z.B. mit der 192.168.200.x
Richtig?

Ich bin auch schon eine ganze Weile am Überlegen, ob ich das irgendwie durch Source- und/oder Destination-NAT an der Fortigate lösen kann. Ich wüsste aber nicht wie. Oder doch?

Danke
Gruß
Martin

Content-ID: 6578631767

Url: https://administrator.de/forum/2-fremdfirmen-mit-gleicher-ip-range-anbinden-6578631767.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

it-fraggle
it-fraggle 30.03.2023 um 20:41:41 Uhr
Goto Top
Zwei gleiche Netze geht nicht. Solltest du eigentlich auch wissen.
SeaStorm
SeaStorm 30.03.2023 um 20:45:12 Uhr
Goto Top
Hi

ja, entweder machen die das NAT oder halt du.
In der Fortigate macht man das mit einem IP Pool.
Das grundsätzliche Vorgehen steht hier
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...
AlbertMinrich
AlbertMinrich 30.03.2023 um 20:58:31 Uhr
Goto Top
Danke, genau damit, also mit IP Pool und VIP hab ich es versucht. Aber in dem Beispiel wird an beiden Firewalls was gemacht. Ich glaube nicht, dass es möglich ist durch NAT NUR an unserer Fortigate. Letztendlich kann ich nicht beeinflussen, mit welchen IP-Adressen die Firma B bei uns ankommt, dass ist immer die 192.168.111.x, und die wird halt schon zu Firma A geroutet.
Aber ich lasse mich gerne eines Besseren belehren.

Gruß
Martin
DarkZoneSD
DarkZoneSD 30.03.2023 um 20:59:58 Uhr
Goto Top
Moin, haben wir bei uns auch und funktioniert auch gut sollte mit den Fortigates wie von @SeaStorm beschrieben eigentlich kein Problem sein
SeaStorm
SeaStorm 30.03.2023 um 21:12:54 Uhr
Goto Top
Zitat von @AlbertMinrich:

dass ist immer die 192.168.111.x, und die wird halt schon zu Firma A geroutet.
Routen tust du nur die NAT Range. Du musst halt beachten das du dann immer die NAT IP Ansprichst, wenn du zu "B" willst.
Wenn Firma B dir also z.B die 192.168.111.123 als ServerIP nennt, musst du mitdenken und die IP 10.11.12.123 eintragen, weil du eben diese als NAT nimmst.
Schickt er dir ein Paket, dann wird das ja auch umgenatted in diese 10.x IP und das Antwortpaket geht da hin.
AlbertMinrich
AlbertMinrich 30.03.2023 um 21:18:53 Uhr
Goto Top
Zitat von @SeaStorm:

Zitat von @AlbertMinrich:

Schickt er dir ein Paket, dann wird das ja auch umgenatted in diese 10.x IP

Aber dieses umnatten kann ich nicht an meiner Fortigate machen, das muss doch an der B-Firewall gemacht werden.
Spirit-of-Eli
Spirit-of-Eli 30.03.2023 um 22:56:29 Uhr
Goto Top
Zitat von @AlbertMinrich:

Zitat von @SeaStorm:

Zitat von @AlbertMinrich:

Schickt er dir ein Paket, dann wird das ja auch umgenatted in diese 10.x IP

Aber dieses umnatten kann ich nicht an meiner Fortigate machen, das muss doch an der B-Firewall gemacht werden.

Moin,

wo du NAT machst ist egal.
Konkret das hier ein 1:1 NAT. Du sprichst wie beschrieben das VIP Netz an welches auf das Zielnetz umsetzt.

Gruß
Spirit
Crusher79
Crusher79 30.03.2023 um 23:39:33 Uhr
Goto Top
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...

Was von ratiopharm? Oder direkt vom Hersteller? ...
AlbertMinrich
AlbertMinrich 31.03.2023 aktualisiert um 08:50:10 Uhr
Goto Top
B schickt ein Paket von der IP 192.168.111.100 an die 172.16.210.100. An meiner Fortigate natte ich das per Source-NAT (IP Pool) um auf die 192.168.200.100.
Für den Empfänger (172.16.210.100) sieht es also aus, als ob der Absender die 192.168.200.100 wäre. Den kann ich damit täuschen und er antwortet an die 192.168.200.100.
Dieses Antwortpaket kommt wieder an meiner Fortigate an, die es zurückübersetzt auf die 192.168.111.100 und somit hat sie wieder das Problem, wohin damit, nach A oder B.
Es ist doch nun mal so, dass an meiner Fortigate native 192.168.111.x - Pakete von B ankommen. Sie kann sich ja nicht selbst vorgaukeln, dass die von woanders herkommen.
Dieses Vorgaukeln (oder umnatten) MUSS B machen. Oder eine weitere Firewall, die noch dazwischen ist. Da gibt es aber keine.
Das Beispiel von Fortinet (https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ..) hilft nicht, weil, wie schon geschrieben, dort wird auf beiden Seiten genattet. Wie das geht und wieso das funktioniert ist mir völlig klar, aber das hilft mir in meiner Konstellation nicht weiter.

Ich bin nach wie vor der Meinung, ohne ein Natting an der B-Firewall geht es nicht.

Gruß
Martin
2423392070
Lösung 2423392070 31.03.2023 um 07:03:42 Uhr
Goto Top
Ja, das Nating auf den B-Seiten solltest du eh forcieren. Damit kommst du näher an die Ursache des Problems als das Problem kreativ auszubauen.

Ein 1:1 NAT könnte die Lösung sein.

Ansonsten drauf dränge das 192er aufzugeben. Genau aus diesem Grund.
Spirit-of-Eli
Spirit-of-Eli 31.03.2023 um 07:06:06 Uhr
Goto Top
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
em-pie
em-pie 31.03.2023 um 07:21:43 Uhr
Goto Top
Moin,

Mal ne zusätzlich Idee in den Raum geworfen:

Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)
2423392070
2423392070 31.03.2023 um 07:34:57 Uhr
Goto Top
Zitat von @em-pie:

Moin,

Mal ne zusätzlich Idee in den Raum geworfen:

Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)


Um dann gleich den nächsten Fehler zu machen?

Er hat Routing Probleme. Er hat sie wegen schnell schnell.
AlbertMinrich
AlbertMinrich 31.03.2023 um 08:06:28 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.

Dass es funktioniert, ist ja klar, aber nur, wenn die B-Firewall natted, behaupte ich face-smile
Spirit-of-Eli
Spirit-of-Eli 31.03.2023 aktualisiert um 09:14:53 Uhr
Goto Top
Zitat von @AlbertMinrich:

Zitat von @Spirit-of-Eli:

Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.

Dass es funktioniert, ist ja klar, aber nur, wenn die B-Firewall natted, behaupte ich face-smile

Das ist auf jeden Fall ein guter Punkt. Ich versuche gerade im Kopf zu eruieren wieso das funktioniert hat. Ich habe leider keinen Zugriff mehr auf das Konstrukt.

Ich vermute, dass es für das 1:1 NAT unterschiedliche NAT Tabellen gibt und diese an die Schnittstellen gebunden sind.

Alternativ könntest du bei einer Fortinet auch unterschiedliche VRF IDs nutzen. Dann muss das Routing zwischen den Netzen tatsächlich wieder auf deiner Seite ausgelagert werden. Das wäre wiederum ziemlich wild.

Edit: Ich glaub wir haben tatsächlich eine separate Box nur für diese Anbindungen genutzt. Das heißt, du kommst wohl um ein Konstrukt mit Auslagerung des Routings nicht drum herum. Bei uns ging es weniger um Performance, als um die Realisierung der Anbindung.
Th0mKa
Th0mKa 31.03.2023 um 11:52:56 Uhr
Goto Top
Zitat von @AlbertMinrich:
Ich glaube nicht, dass es möglich ist durch NAT NUR an unserer Fortigate.
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.

/Thomas
Spirit-of-Eli
Spirit-of-Eli 31.03.2023 um 12:28:54 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @AlbertMinrich:
Ich glaube nicht, dass es möglich ist durch NAT NUR an unserer Fortigate.
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.

/Thomas

Stimmt, VDOM ist das richtige Stichwort.
AlbertMinrich
AlbertMinrich 31.03.2023 um 13:04:21 Uhr
Goto Top
Firma B natted jetzt, es funktioniert alles.
Danke für alle Antworten.

Gruß
Martin
DarkZoneSD
DarkZoneSD 31.03.2023 um 14:50:46 Uhr
Goto Top
Dann bitte noch auf gelöst stellen face-smile

schönes Wochenende
Peter-1337
Peter-1337 31.03.2023 aktualisiert um 18:10:46 Uhr
Goto Top
Hey,

fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.

Deine "Lösung" würde ich cheaten nennen 😂

Gruß Peter
AlbertMinrich
AlbertMinrich 02.04.2023 um 12:00:44 Uhr
Goto Top
Zitat von @Peter-1337:

Hey,

fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.

Ich hab mich nochmal umgeschaut auf der Foritgate. Ich kann nichts finden. Wenn jemand weiß, wie es geht, ich wäre sehr daran interessiert. Das nächste VPN kommt bestimmt.

Martin
aqui
aqui 02.04.2023 um 12:04:50 Uhr
Goto Top