22
2 Fremdfirmen mit gleicher IP-Range anbinden?
Hallo,
unser internes Netz ist 172.16.210.x
Wir haben eine VPN-Verbindung zu Firma A, deren Netz ist 192.168.111.x,
also so:
Gegenseitiger Zugriff funktioniert.
Jetzt soll eine zweite Firma (Firma B) ebenfalls per VPN angebunden werden, deren Netz ist ebenfalls 192.168.111.x, also so:
Ich kann ja das Netz 192.168.111.x logischerweise nur in eine Richtung routen, entweder zu Firma A oder zu Firma B.
Relativ einfach könnte man das lösen, wenn Firma B ein Source-NAT macht, dann kommen die eben nicht mit der 192.168.111.x bei uns an, sondern z.B. mit der 192.168.200.x
Richtig?
Ich bin auch schon eine ganze Weile am Überlegen, ob ich das irgendwie durch Source- und/oder Destination-NAT an der Fortigate lösen kann. Ich wüsste aber nicht wie. Oder doch?
Danke
Gruß
Martin
unser internes Netz ist 172.16.210.x
Wir haben eine VPN-Verbindung zu Firma A, deren Netz ist 192.168.111.x,
also so:
Jetzt soll eine zweite Firma (Firma B) ebenfalls per VPN angebunden werden, deren Netz ist ebenfalls 192.168.111.x, also so:
Ich kann ja das Netz 192.168.111.x logischerweise nur in eine Richtung routen, entweder zu Firma A oder zu Firma B.
Relativ einfach könnte man das lösen, wenn Firma B ein Source-NAT macht, dann kommen die eben nicht mit der 192.168.111.x bei uns an, sondern z.B. mit der 192.168.200.x
Richtig?
Ich bin auch schon eine ganze Weile am Überlegen, ob ich das irgendwie durch Source- und/oder Destination-NAT an der Fortigate lösen kann. Ich wüsste aber nicht wie. Oder doch?
Danke
Gruß
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6578631767
Url: https://administrator.de/contentid/6578631767
Printed on: May 14, 2024 at 23:05 o'clock
22 Comments
Latest comment
Zwei gleiche Netze geht nicht. Solltest du eigentlich auch wissen.
1
Hi
ja, entweder machen die das NAT oder halt du.
In der Fortigate macht man das mit einem IP Pool.
Das grundsätzliche Vorgehen steht hier
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...
ja, entweder machen die das NAT oder halt du.
In der Fortigate macht man das mit einem IP Pool.
Das grundsätzliche Vorgehen steht hier
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...
1
Danke, genau damit, also mit IP Pool und VIP hab ich es versucht. Aber in dem Beispiel wird an beiden Firewalls was gemacht. Ich glaube nicht, dass es möglich ist durch NAT NUR an unserer Fortigate. Letztendlich kann ich nicht beeinflussen, mit welchen IP-Adressen die Firma B bei uns ankommt, dass ist immer die 192.168.111.x, und die wird halt schon zu Firma A geroutet.
Aber ich lasse mich gerne eines Besseren belehren.
Gruß
Martin
Aber ich lasse mich gerne eines Besseren belehren.
Gruß
Martin
Moin, haben wir bei uns auch und funktioniert auch gut sollte mit den Fortigates wie von @SeaStorm beschrieben eigentlich kein Problem sein
Zitat von @AlbertMinrich:
dass ist immer die 192.168.111.x, und die wird halt schon zu Firma A geroutet.
Routen tust du nur die NAT Range. Du musst halt beachten das du dann immer die NAT IP Ansprichst, wenn du zu "B" willst.dass ist immer die 192.168.111.x, und die wird halt schon zu Firma A geroutet.
Wenn Firma B dir also z.B die 192.168.111.123 als ServerIP nennt, musst du mitdenken und die IP 10.11.12.123 eintragen, weil du eben diese als NAT nimmst.
Schickt er dir ein Paket, dann wird das ja auch umgenatted in diese 10.x IP und das Antwortpaket geht da hin.
Aber dieses umnatten kann ich nicht an meiner Fortigate machen, das muss doch an der B-Firewall gemacht werden.
Zitat von @AlbertMinrich:
Aber dieses umnatten kann ich nicht an meiner Fortigate machen, das muss doch an der B-Firewall gemacht werden.
Aber dieses umnatten kann ich nicht an meiner Fortigate machen, das muss doch an der B-Firewall gemacht werden.
Moin,
wo du NAT machst ist egal.
Konkret das hier ein 1:1 NAT. Du sprichst wie beschrieben das VIP Netz an welches auf das Zielnetz umsetzt.
Gruß
Spirit
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...
Was von ratiopharm? Oder direkt vom Hersteller? ...
Was von ratiopharm? Oder direkt vom Hersteller? ...
B schickt ein Paket von der IP 192.168.111.100 an die 172.16.210.100. An meiner Fortigate natte ich das per Source-NAT (IP Pool) um auf die 192.168.200.100.
Für den Empfänger (172.16.210.100) sieht es also aus, als ob der Absender die 192.168.200.100 wäre. Den kann ich damit täuschen und er antwortet an die 192.168.200.100.
Dieses Antwortpaket kommt wieder an meiner Fortigate an, die es zurückübersetzt auf die 192.168.111.100 und somit hat sie wieder das Problem, wohin damit, nach A oder B.
Es ist doch nun mal so, dass an meiner Fortigate native 192.168.111.x - Pakete von B ankommen. Sie kann sich ja nicht selbst vorgaukeln, dass die von woanders herkommen.
Dieses Vorgaukeln (oder umnatten) MUSS B machen. Oder eine weitere Firewall, die noch dazwischen ist. Da gibt es aber keine.
Das Beispiel von Fortinet (https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ..) hilft nicht, weil, wie schon geschrieben, dort wird auf beiden Seiten genattet. Wie das geht und wieso das funktioniert ist mir völlig klar, aber das hilft mir in meiner Konstellation nicht weiter.
Ich bin nach wie vor der Meinung, ohne ein Natting an der B-Firewall geht es nicht.
Gruß
Martin
Für den Empfänger (172.16.210.100) sieht es also aus, als ob der Absender die 192.168.200.100 wäre. Den kann ich damit täuschen und er antwortet an die 192.168.200.100.
Dieses Antwortpaket kommt wieder an meiner Fortigate an, die es zurückübersetzt auf die 192.168.111.100 und somit hat sie wieder das Problem, wohin damit, nach A oder B.
Es ist doch nun mal so, dass an meiner Fortigate native 192.168.111.x - Pakete von B ankommen. Sie kann sich ja nicht selbst vorgaukeln, dass die von woanders herkommen.
Dieses Vorgaukeln (oder umnatten) MUSS B machen. Oder eine weitere Firewall, die noch dazwischen ist. Da gibt es aber keine.
Das Beispiel von Fortinet (https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ..) hilft nicht, weil, wie schon geschrieben, dort wird auf beiden Seiten genattet. Wie das geht und wieso das funktioniert ist mir völlig klar, aber das hilft mir in meiner Konstellation nicht weiter.
Ich bin nach wie vor der Meinung, ohne ein Natting an der B-Firewall geht es nicht.
Gruß
Martin
1
Ja, das Nating auf den B-Seiten solltest du eh forcieren. Damit kommst du näher an die Ursache des Problems als das Problem kreativ auszubauen.
Ein 1:1 NAT könnte die Lösung sein.
Ansonsten drauf dränge das 192er aufzugeben. Genau aus diesem Grund.
Ein 1:1 NAT könnte die Lösung sein.
Ansonsten drauf dränge das 192er aufzugeben. Genau aus diesem Grund.
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Moin,
Mal ne zusätzlich Idee in den Raum geworfen:
Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)
…
Mal ne zusätzlich Idee in den Raum geworfen:
Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)
…
1Zitat von @em-pie:
Moin,
Mal ne zusätzlich Idee in den Raum geworfen:
Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)
…
Moin,
Mal ne zusätzlich Idee in den Raum geworfen:
Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)
…
Um dann gleich den nächsten Fehler zu machen?
Er hat Routing Probleme. Er hat sie wegen schnell schnell.
Zitat von @Spirit-of-Eli:
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Dass es funktioniert, ist ja klar, aber nur, wenn die B-Firewall natted, behaupte ich
Zitat von @AlbertMinrich:
Dass es funktioniert, ist ja klar, aber nur, wenn die B-Firewall natted, behaupte ich
Zitat von @Spirit-of-Eli:
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Dass es funktioniert, ist ja klar, aber nur, wenn die B-Firewall natted, behaupte ich
Das ist auf jeden Fall ein guter Punkt. Ich versuche gerade im Kopf zu eruieren wieso das funktioniert hat. Ich habe leider keinen Zugriff mehr auf das Konstrukt.
Ich vermute, dass es für das 1:1 NAT unterschiedliche NAT Tabellen gibt und diese an die Schnittstellen gebunden sind.
Alternativ könntest du bei einer Fortinet auch unterschiedliche VRF IDs nutzen. Dann muss das Routing zwischen den Netzen tatsächlich wieder auf deiner Seite ausgelagert werden. Das wäre wiederum ziemlich wild.
Edit: Ich glaub wir haben tatsächlich eine separate Box nur für diese Anbindungen genutzt. Das heißt, du kommst wohl um ein Konstrukt mit Auslagerung des Routings nicht drum herum. Bei uns ging es weniger um Performance, als um die Realisierung der Anbindung.
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.
/Thomas
/Thomas
1Zitat von @Th0mKa:
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.
/Thomas
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.
/Thomas
Stimmt, VDOM ist das richtige Stichwort.
Firma B natted jetzt, es funktioniert alles.
Danke für alle Antworten.
Gruß
Martin
Danke für alle Antworten.
Gruß
Martin
1
Dann bitte noch auf gelöst stellen
schönes Wochenende
schönes Wochenende
Hey,
fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.
Deine "Lösung" würde ich cheaten nennen 😂
Gruß Peter
fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.
Deine "Lösung" würde ich cheaten nennen 😂
Gruß Peter
Zitat von @Peter-1337:
Hey,
fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.
Hey,
fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.
Ich hab mich nochmal umgeschaut auf der Foritgate. Ich kann nichts finden. Wenn jemand weiß, wie es geht, ich wäre sehr daran interessiert. Das nächste VPN kommt bestimmt.
Martin
