thomasjay
Goto Top

Firebox T15 NAT

Hallo zusammen,

benötige mal wieder eure Hilfe!

Wir müssen eine 1 to 1 NAT in der Firebox einrichten!

externe IP-Adresse: 10.0.8.0 muss auf unsere interne IP-Adresse 192.168.10.0 gesteuert werden...

Eine VPN-Tunnel zu den externen Netzwerk besteht und funktioniert.

Vielen Dank im Voraus

Gruß

Thomas J.

Content-ID: 372859

Url: https://administrator.de/forum/firebox-t15-nat-372859.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

wuurian
wuurian 03.05.2018 um 09:20:35 Uhr
Goto Top
Sorry, aber das habe ich dir bereits alles per PN schon mitgeteilt, langsam kommt man sich ziemlich verarscht vor, es kommt ja nicht mal eine Rückmeldung von dir!

Setz dich lieber mal mit deinem System auseinander, anstatt alles vorgegeben zu bekommen!
Und ein 1to1 NAT in der Watchguard einrichten ist wirklich kein Hexenwerk, bei Watchguard findet man auch alles schön dokumentiert, man muss es nur lesen & verstehen!
Lochkartenstanzer
Lochkartenstanzer 03.05.2018 aktualisiert um 09:42:40 Uhr
Goto Top
Zitat von @wuurian:

Sorry, aber das habe ich dir bereits alles per PN schon mitgeteilt, langsam kommt man sich ziemlich verarscht vor, ..
... bei Watchguard findet man auch alles schön dokumentiert, man muss es nur lesen & verstehen!

Kurz gesagt: RTFM!

Lieber TO

wußtest Du, das es Dienstleister gibt, die Dir sowas für Geld liebend gern einrichten? Dann brauchst Du Dich auch nicht mit dem Lesen von Manuals abzugeben.

Wir sind hier eine Comunity die sich gegenseitig bei Problemen hilft, aber nicht die Arbeit des anderen macht.

lks
Spirit-of-Eli
Spirit-of-Eli 03.05.2018 um 09:57:59 Uhr
Goto Top
Bei watchguard ist die Funktion trivial zu konfigurieren und bei anlegen der policy heißt diese eben ja genau gleich...
aqui
aqui 03.05.2018 um 11:05:55 Uhr
Goto Top
Eine VPN-Tunnel zu den externen Netzwerk besteht und funktioniert.
Dann ist ein NAT doch technisch völliger Blödsinn !
Über das VPN hast du ja dann direkten Zugriff auf das 192.168.10.0er Netz.
Vielleicht solltest du besser nochmal die Grundlagen zu VPNs nachlesen, denn scheionbar hast du deren tieferen Sinn noch nicht verstanden ?!
Lochkartenstanzer
Lochkartenstanzer 03.05.2018 um 11:11:58 Uhr
Goto Top
Zitat von @aqui:

Eine VPN-Tunnel zu den externen Netzwerk besteht und funktioniert.
Dann ist ein NAT doch technisch völliger Blödsinn !
Über das VPN hast du ja dann direkten Zugriff auf das 192.168.10.0er Netz.
Vielleicht solltest du besser nochmal die Grundlagen zu VPNs nachlesen, denn scheionbar hast du deren tieferen Sinn noch nicht verstanden ?!

Vermutlich darf er am Routing nichts drehen.

lks
aqui
aqui 03.05.2018 aktualisiert um 11:41:42 Uhr
Goto Top
Hat ja mit dem Routing erstmal nichts zu tun.
Sowie die VPN Verbindung von dem 10er Netz auf sein lokales 192.168er steht, wird die Route ja automatisch injiziert in die FW sofern er IPsec oder OpenVPN verwendent. Letzteres wird seine FW wohl gar nicht erst können ?! Leider gibts da ja keine Infos zu vom TO face-sad
Spirit-of-Eli
Spirit-of-Eli 03.05.2018 um 12:19:34 Uhr
Goto Top
Rein technisch lässt sich dies mit der WG schon drehen.

Der TO muss, wenn er dies unbedingt will, nur die Policy anpassen.

Rein logisch liegt aqui natürlich richtig und das Thema wäre eig trivial.
thomasjay
thomasjay 15.05.2018 um 10:57:57 Uhr
Goto Top
Moin,

sorry war bis jetzt im Urlaub! Hier nochmal das Szenario

1.Der Dienstanbieter stellt Ihnen das IP Netz 10.20.24x.0/255.255.248.0 zur internen Verwendung am Standort zur Verfügung
2. Sie möchten dieses Netz intern nicht als Standort Netz verwenden
3. Sie werden Ihr Intern verwendetes IP Netz 192.168.10.x hinter dem 10.20.24x.0/21 für Zugriffe auf das RZ Netz 10.0.8.x/21 per NAT verstecken.

Ich habe einen Branch Office VPN Gateway und Tunnel aufgebau und eine Firewall Police erstellt!

Leider funktioniert dies nicht...

Gruß
Thomas J.
aqui
aqui 15.05.2018 um 15:34:58 Uhr
Goto Top
Ist doch auch klar und sagt einem schon der gesunde Menschenverstand !! Denk doch mal etwas nach...!!
Wenn der Diensteanbieter das IP Netz 10.20.24x.0 /21 vorgibt, der Kunde aber dieses Netz NICHT als Standort Netz haben will sondern das IP Netz 192.168.10.0 /21 dann musst du doch zwingend NAT machen !!!
Sprich also eine IP Adress Translation die das 10.20.24x.0 /21er Netz in das 192.168.8.0 /21 Netz übersetzt.
Was du da gemacht hast ist ja nix weiter als ein simples VPN ohne das zwingend erforderliche NAT !

Leider gibst du oben auch nicht an ob die Subnetzmaske beibehalten werden soll also das 10er Netz mit einem 21er Prefix auch auf ein 192.168er Netz mit 21 Prefix umgesetzt werden soll, was den .10er Bereich inkludiert, dann ist das nämlich das 192.168.8.0er Netz (Hostbereich von 192.168.8.1 bis 192.168.15.254 !)
Oder soll es auf einen 24 Bit Prefix umgesetzt werden ?? (Hostbereich von 192.168.10.1 bis 192.168.10.254 ) ??
Egal...
So oder soo musst du NAT (Network Adress Translation) zwingen konfigurieren, sonst wird das doch nix !
Ob du das mit 1:1 NAT oder einem Pool NAT Verfahren machst ist dabei erstmal egal.
Fazit:
Nachdenken und dann nochmal konfigurieren !