4
Cisco ASA - IPSec VPN und NAT
Hallo zusammen,
bin seit kurzem hier angemeldet und wollte ein Problem bzw. meine Verwirrung schildern....
Ein Unternehmen baut zu unserer Firma ein IPSec VPN-Tunnel auf, um Systemwartungen durchzuführen. Wir verwenden dazu eine ASA 9.4 (ja, ist nicht mehr so ganz frisch)
Folgende Struktur:
Tunnelendpunkt/ VPN-GW der Firma: 24.85.62.10
Remote Netz der Firma: 24.85.62.224/27
Unser Endpunkt/ VPN-GW: 194.23.32.13
local Network: 10.1.25.0/24
Folgendes soll gemacht werden:
- Ein Client aus dem Remote Netz der Firma (24.85.62.225) greift per RDP auf die lokale IP 10.1.25.14 zu.
Die Probleme dabei:
- Das Remote Netz (24.85.62.224/27) soll auf eine interne Adresse genattet werden: 192.168.2.54
- Die IP 10.1.25.14 ist nicht die eigentliche Zielserver-IP. Damit der Zielserver erreicht wird, muss wieder genattet werden: auf 192.168.5.14.
- Hintergrund, warum nicht direkt der Zielserver in der VPN-Konfig genutzt wird: Vorgabe der Firma.
Meine Idee war nun folgende:
- 1 Network-Object 10.1.25.14 mit "automatic Address Translation rule" nach 192.168.5.14
- 1 NAT-Regel (ASDM-Sprech):
Source Interface: Any; Source Address: 24.85.62.224/27 (Remote Netz); Destination Interface: Any; Destination Address: 10.1.25.14; Service: any
Translated Packet:
Source NAT Type: Dynamic PAT (Hide); Source Address: 192.168.2.54; Destination Address: Original; Service: any
Kann die ASA überhaupt dieses mehrfache Source- & Destination-NAT (einmal dynamisch, einmal statisch) zusammen mit einem VPN erfolgreich durchführen?
(und warum ist ASA NAT so kompliziert???)
Danke & Gruss
Robert19
bin seit kurzem hier angemeldet und wollte ein Problem bzw. meine Verwirrung schildern....
Ein Unternehmen baut zu unserer Firma ein IPSec VPN-Tunnel auf, um Systemwartungen durchzuführen. Wir verwenden dazu eine ASA 9.4 (ja, ist nicht mehr so ganz frisch)
Folgende Struktur:
Tunnelendpunkt/ VPN-GW der Firma: 24.85.62.10
Remote Netz der Firma: 24.85.62.224/27
Unser Endpunkt/ VPN-GW: 194.23.32.13
local Network: 10.1.25.0/24
Folgendes soll gemacht werden:
- Ein Client aus dem Remote Netz der Firma (24.85.62.225) greift per RDP auf die lokale IP 10.1.25.14 zu.
Die Probleme dabei:
- Das Remote Netz (24.85.62.224/27) soll auf eine interne Adresse genattet werden: 192.168.2.54
- Die IP 10.1.25.14 ist nicht die eigentliche Zielserver-IP. Damit der Zielserver erreicht wird, muss wieder genattet werden: auf 192.168.5.14.
- Hintergrund, warum nicht direkt der Zielserver in der VPN-Konfig genutzt wird: Vorgabe der Firma.
Meine Idee war nun folgende:
- 1 Network-Object 10.1.25.14 mit "automatic Address Translation rule" nach 192.168.5.14
- 1 NAT-Regel (ASDM-Sprech):
Source Interface: Any; Source Address: 24.85.62.224/27 (Remote Netz); Destination Interface: Any; Destination Address: 10.1.25.14; Service: any
Translated Packet:
Source NAT Type: Dynamic PAT (Hide); Source Address: 192.168.2.54; Destination Address: Original; Service: any
Kann die ASA überhaupt dieses mehrfache Source- & Destination-NAT (einmal dynamisch, einmal statisch) zusammen mit einem VPN erfolgreich durchführen?
(und warum ist ASA NAT so kompliziert???)
Danke & Gruss
Robert19
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1197576471
Url: https://administrator.de/contentid/1197576471
Printed on: June 23, 2024 at 19:06 o'clock
4 Comments
Latest comment
Du kannst so oft NATen wie du willst. Da gibt es keinerlei Limit. Siehe auch bei klassischen Router_Kaskaden da wird auch mehrfach geNATet ! Da gibt es keine Limits.
Das Wichtigste bei sowas ist da dann noch durchzusteigen und ganz wichtig: Das richtige Security Regelwerk auf so ein Konstrukt mit mehrfach wechselnden IPs im Pfad loszulassen.
Machbar ist vieles, auch dein Vorhaben. Wie man sowas dann managed ist wieder eine ganz andere Frage.
Zur letzten Frage ist das wie immer im Leben relativ. Für jemanden der damit täglich umgeht ist das eher eine Lachnummer. Für den Hausmeister ist es sicher etwas komplizierter.... 😉
Das Wichtigste bei sowas ist da dann noch durchzusteigen und ganz wichtig: Das richtige Security Regelwerk auf so ein Konstrukt mit mehrfach wechselnden IPs im Pfad loszulassen.
Machbar ist vieles, auch dein Vorhaben. Wie man sowas dann managed ist wieder eine ganz andere Frage.
Zur letzten Frage ist das wie immer im Leben relativ. Für jemanden der damit täglich umgeht ist das eher eine Lachnummer. Für den Hausmeister ist es sicher etwas komplizierter.... 😉
Zitat von @aqui:
Du kannst so oft NATen wie du willst. Da gibt es keinerlei Limit. Siehe auch bei klassischen Router_Kaskaden da wird auch mehrfach geNATet ! Da gibt es keine Limits.
Das Wichtigste bei sowas ist da dann noch durchzusteigen und ganz wichtig: Das richtige Security Regelwerk auf so ein Konstrukt mit mehrfach wechselnden IPs im Pfad loszulassen.
Machbar ist vieles, auch dein Vorhaben. Wie man sowas dann managed ist wieder eine ganz andere Frage.
Zur letzten Frage ist das wie immer im Leben relativ. Für jemanden der damit täglich umgeht ist das eher eine Lachnummer. Für den Hausmeister ist es sicher etwas komplizierter.... 😉
Du kannst so oft NATen wie du willst. Da gibt es keinerlei Limit. Siehe auch bei klassischen Router_Kaskaden da wird auch mehrfach geNATet ! Da gibt es keine Limits.
Das Wichtigste bei sowas ist da dann noch durchzusteigen und ganz wichtig: Das richtige Security Regelwerk auf so ein Konstrukt mit mehrfach wechselnden IPs im Pfad loszulassen.
Machbar ist vieles, auch dein Vorhaben. Wie man sowas dann managed ist wieder eine ganz andere Frage.
Zur letzten Frage ist das wie immer im Leben relativ. Für jemanden der damit täglich umgeht ist das eher eine Lachnummer. Für den Hausmeister ist es sicher etwas komplizierter.... 😉
Sorry, aber Dein Beitrag taugt nun leider nichts zum Thema.... Bei mir geht's um eine ASA und nicht um pfsense wie in deinem Link und deine Beleidigungen kannst du dir auch sparen.
Wenn du nichts Sinnvolles beitragen kannst, solltest du deine Kommentare sein lassen.
Lies das mal durch:
https://www.heise.de/tp/features/Der-User-als-Patient-6175640.html
passt ganz gut auf deinen Beitrag, oder?
Jetzt muss sogar der Hausmeister lachen.
Wenn man das Prinzip einmal verstanden hat, ist es vollkommen Wumpe auf welcher Hardware der Spaß eingerichtet wird. Die Anleitung von Aqui erklärt dies besser als so manches Lehrbuch.
Edit:
Und zum Thema "Gesundheit".
Ich bin ein Freund der traditionellen Behandlung.
Wenn man das Prinzip einmal verstanden hat, ist es vollkommen Wumpe auf welcher Hardware der Spaß eingerichtet wird. Die Anleitung von Aqui erklärt dies besser als so manches Lehrbuch.
Edit:
Und zum Thema "Gesundheit".
Ich bin ein Freund der traditionellen Behandlung.
- Aderlass
- Einläufe mit kaltem Wasser
- Rizinusöl
- Lebertran
- Akkupunktur mit rostigen Stricknadeln
- Eigenurintherapie
- Reizstrom mit 230V
Zeigt das der TO wenig bis nix verstanden hat, denn sonst hätte er die Analogie der doppelten NAT Kaskade als Beispiel auch genau seinem Vorhaben zuordnen können denn technisch ist das identisch, egal welche HW. Kernfrage war ja gerade ob mehrfaches NAT technisch möglich ist. Das eine Cisco ASA sowas generell kann sollte außer Frage stehen.
Wenn es schon an solch einfachen Verständnismustern hapert müssen wir sicher nicht weiter ins Eingemachte gehen.
Auch die 2te Analogie sollte mitnichten eine Beleidigung sein und nur aufzeigen wie sinnfrei, da immer relativ, solcherlei Kommentare in einem Administrator Forum sind. Es ist nur immer schwer einen nicht diskriminierenden Vergleich zu finden. Damit geht eine Entschuldigung an alle Hausmeister einher. Es war keinesfalls böse gemeint sondern der Versuch einer freundlichen Hilfestellung. Aber auch das hat der TO leider nicht erkannt. Nundenn...
Den treffenden Worten des Kollegen @148656 muss man dann sicher nichts weiter hinzufügen.
Wenn es schon an solch einfachen Verständnismustern hapert müssen wir sicher nicht weiter ins Eingemachte gehen.
Auch die 2te Analogie sollte mitnichten eine Beleidigung sein und nur aufzeigen wie sinnfrei, da immer relativ, solcherlei Kommentare in einem Administrator Forum sind. Es ist nur immer schwer einen nicht diskriminierenden Vergleich zu finden. Damit geht eine Entschuldigung an alle Hausmeister einher. Es war keinesfalls böse gemeint sondern der Versuch einer freundlichen Hilfestellung. Aber auch das hat der TO leider nicht erkannt. Nundenn...
Den treffenden Worten des Kollegen @148656 muss man dann sicher nichts weiter hinzufügen.
