2 Fremdfirmen mit gleicher IP-Range anbinden?
Hallo,
unser internes Netz ist 172.16.210.x
Wir haben eine VPN-Verbindung zu Firma A, deren Netz ist 192.168.111.x,
also so:
Gegenseitiger Zugriff funktioniert.
Jetzt soll eine zweite Firma (Firma B) ebenfalls per VPN angebunden werden, deren Netz ist ebenfalls 192.168.111.x, also so:
Ich kann ja das Netz 192.168.111.x logischerweise nur in eine Richtung routen, entweder zu Firma A oder zu Firma B.
Relativ einfach könnte man das lösen, wenn Firma B ein Source-NAT macht, dann kommen die eben nicht mit der 192.168.111.x bei uns an, sondern z.B. mit der 192.168.200.x
Richtig?
Ich bin auch schon eine ganze Weile am Überlegen, ob ich das irgendwie durch Source- und/oder Destination-NAT an der Fortigate lösen kann. Ich wüsste aber nicht wie. Oder doch?
Danke
Gruß
Martin
unser internes Netz ist 172.16.210.x
Wir haben eine VPN-Verbindung zu Firma A, deren Netz ist 192.168.111.x,
also so:
Gegenseitiger Zugriff funktioniert.
Jetzt soll eine zweite Firma (Firma B) ebenfalls per VPN angebunden werden, deren Netz ist ebenfalls 192.168.111.x, also so:
Ich kann ja das Netz 192.168.111.x logischerweise nur in eine Richtung routen, entweder zu Firma A oder zu Firma B.
Relativ einfach könnte man das lösen, wenn Firma B ein Source-NAT macht, dann kommen die eben nicht mit der 192.168.111.x bei uns an, sondern z.B. mit der 192.168.200.x
Richtig?
Ich bin auch schon eine ganze Weile am Überlegen, ob ich das irgendwie durch Source- und/oder Destination-NAT an der Fortigate lösen kann. Ich wüsste aber nicht wie. Oder doch?
Danke
Gruß
Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6578631767
Url: https://administrator.de/forum/2-fremdfirmen-mit-gleicher-ip-range-anbinden-6578631767.html
Ausgedruckt am: 26.12.2024 um 02:12 Uhr
22 Kommentare
Neuester Kommentar
Hi
ja, entweder machen die das NAT oder halt du.
In der Fortigate macht man das mit einem IP Pool.
Das grundsätzliche Vorgehen steht hier
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...
ja, entweder machen die das NAT oder halt du.
In der Fortigate macht man das mit einem IP Pool.
Das grundsätzliche Vorgehen steht hier
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...
Moin, haben wir bei uns auch und funktioniert auch gut sollte mit den Fortigates wie von @SeaStorm beschrieben eigentlich kein Problem sein
Zitat von @AlbertMinrich:
dass ist immer die 192.168.111.x, und die wird halt schon zu Firma A geroutet.
Routen tust du nur die NAT Range. Du musst halt beachten das du dann immer die NAT IP Ansprichst, wenn du zu "B" willst.dass ist immer die 192.168.111.x, und die wird halt schon zu Firma A geroutet.
Wenn Firma B dir also z.B die 192.168.111.123 als ServerIP nennt, musst du mitdenken und die IP 10.11.12.123 eintragen, weil du eben diese als NAT nimmst.
Schickt er dir ein Paket, dann wird das ja auch umgenatted in diese 10.x IP und das Antwortpaket geht da hin.
Zitat von @AlbertMinrich:
Aber dieses umnatten kann ich nicht an meiner Fortigate machen, das muss doch an der B-Firewall gemacht werden.
Aber dieses umnatten kann ich nicht an meiner Fortigate machen, das muss doch an der B-Firewall gemacht werden.
Moin,
wo du NAT machst ist egal.
Konkret das hier ein 1:1 NAT. Du sprichst wie beschrieben das VIP Netz an welches auf das Zielnetz umsetzt.
Gruß
Spirit
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/ ...
Was von ratiopharm? Oder direkt vom Hersteller? ...
Was von ratiopharm? Oder direkt vom Hersteller? ...
Ja, das Nating auf den B-Seiten solltest du eh forcieren. Damit kommst du näher an die Ursache des Problems als das Problem kreativ auszubauen.
Ein 1:1 NAT könnte die Lösung sein.
Ansonsten drauf dränge das 192er aufzugeben. Genau aus diesem Grund.
Ein 1:1 NAT könnte die Lösung sein.
Ansonsten drauf dränge das 192er aufzugeben. Genau aus diesem Grund.
Zitat von @em-pie:
Moin,
Mal ne zusätzlich Idee in den Raum geworfen:
Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)
…
Moin,
Mal ne zusätzlich Idee in den Raum geworfen:
Wie viel Aufwand wäre es, dein Netz (Firma A) auf z.b. 10.1.0.0/16 umzustellen? Wobei du dann noch mehrere Subnetze etablieren könntest:
10.1.10.0/24: VLAN 10 (Clients)
10.1.20.0/24: VLAN 20 (Server)
…
Um dann gleich den nächsten Fehler zu machen?
Er hat Routing Probleme. Er hat sie wegen schnell schnell.
Zitat von @AlbertMinrich:
Dass es funktioniert, ist ja klar, aber nur, wenn die B-Firewall natted, behaupte ich
Zitat von @Spirit-of-Eli:
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Wenn du mir erzählen möchtest, das es früher bei der Anbindung von gut 100 Kunden und 30 identischen Netzen nicht funktioniert hat wird es schwierig.
Das funktioniert schon, da die Richtung bzw Interface Bindung eine Rolle spielt.
Dass es funktioniert, ist ja klar, aber nur, wenn die B-Firewall natted, behaupte ich
Das ist auf jeden Fall ein guter Punkt. Ich versuche gerade im Kopf zu eruieren wieso das funktioniert hat. Ich habe leider keinen Zugriff mehr auf das Konstrukt.
Ich vermute, dass es für das 1:1 NAT unterschiedliche NAT Tabellen gibt und diese an die Schnittstellen gebunden sind.
Alternativ könntest du bei einer Fortinet auch unterschiedliche VRF IDs nutzen. Dann muss das Routing zwischen den Netzen tatsächlich wieder auf deiner Seite ausgelagert werden. Das wäre wiederum ziemlich wild.
Edit: Ich glaub wir haben tatsächlich eine separate Box nur für diese Anbindungen genutzt. Das heißt, du kommst wohl um ein Konstrukt mit Auslagerung des Routings nicht drum herum. Bei uns ging es weniger um Performance, als um die Realisierung der Anbindung.
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.
/Thomas
/Thomas
Zitat von @Th0mKa:
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.
/Thomas
Was für eine Fortigate hast du denn? Eventuell kannst du dein Problem ja mit VDOMs lösen, wäre zwar nicht schön, aber funktional.
/Thomas
Stimmt, VDOM ist das richtige Stichwort.
Hey,
fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.
Deine "Lösung" würde ich cheaten nennen 😂
Gruß Peter
fürs nächste Mal: ich administriere zwar nur eine Checkpoint Firewall, aber eigentlich müsste das extrem einfach umsetzbar sein.
Damit der spaß überhaupt funktionieren kann, MUSS es ja ein Merkmal geben das die beiden unterscheidet. Dementsprechend müsstest du dein NAT anpassen.
Wenn ein Paket von 192.168.111.0/24 aus dem VPN mit der Quell-IP 5.98.5.6 kommt, dann natte zu 10.100.10.0/24 z.B. Deinen Anwendern müsstest du dann nur einen anderen Range nennen, damit es in beide Richtungen funktioniert.
Mit CP wäre es ein leichtes, kann mir nicht vorstellen das das mit fortinet nicht gehen soll.
Deine "Lösung" würde ich cheaten nennen 😂
Gruß Peter