Hilfe bei NAT bzw. VPN
Liebe Gemeinde,
ich bräuchte dringend Hilfe, da ich nicht allzu fit in Netzwerktechnik bin und ich als temporärer Ersatz diene:
Ein Site to Site VPN anlegen, es soll danach möglich sein dass von meinem Netz (192.168.0.0/24) Zugriff auf die IP 10.20.162.x (oder Netz 10.20.162.0) möglich ist, soweit so gut, nun sagt die gegenüberliegende Seite sie das Netz 192.168.0.0/16 bereits in Verwendung hat, daher müsste ich das Ganze via NAT lösen (denke mal mit einem Outside NAT, aber wie genau), hab ich aber leider noch nie gemacht, das VPN baut ein Cisco Router auf..
Könnte mir jemand erklären wie das Netzwerk auszusehen hat, ich hätte die IP 10.20.162.x in unser Netz geroutet, dies ist aber so nicht möglich..
Bitte um Hilfe!
Danke!
Gruß
Dr.
ich bräuchte dringend Hilfe, da ich nicht allzu fit in Netzwerktechnik bin und ich als temporärer Ersatz diene:
Ein Site to Site VPN anlegen, es soll danach möglich sein dass von meinem Netz (192.168.0.0/24) Zugriff auf die IP 10.20.162.x (oder Netz 10.20.162.0) möglich ist, soweit so gut, nun sagt die gegenüberliegende Seite sie das Netz 192.168.0.0/16 bereits in Verwendung hat, daher müsste ich das Ganze via NAT lösen (denke mal mit einem Outside NAT, aber wie genau), hab ich aber leider noch nie gemacht, das VPN baut ein Cisco Router auf..
Könnte mir jemand erklären wie das Netzwerk auszusehen hat, ich hätte die IP 10.20.162.x in unser Netz geroutet, dies ist aber so nicht möglich..
Bitte um Hilfe!
Danke!
Gruß
Dr.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387786
Url: https://administrator.de/forum/hilfe-bei-nat-bzw-vpn-387786.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
17 Kommentare
Neuester Kommentar
nun sagt die gegenüberliegende Seite sie das Netz 192.168.0.0/16 bereits in Verwendung hat
Ganz ehrlich ??!!Ändere deine Netzwerk Adressierung wenn du ein kleineres Netz hast. Der 16 Bit Prefix der anderen Seite lässt ja vermuten das dort mehrere Netze in Verwendung sind mit diesem Prefix.
Nimm ein etwas exotischeres 172er Netz für dich und gut iss:
VPNs einrichten mit PPTP
Wenn du bei NAT nicht wirklich weisst was du da tust und vor allem...deine Hardware ggf. nur einen Teil vom NAT supportet (du brauchst hier symetrisches NAT) wird das mit einen Vorkenntnissen ggf. ein Himmelfahrtskommando.
Zumal du nicht einmal deine vorhandene Hardware benennen kannst damit wir abschätzen könnten wie hoch der Konfig Aufwand wäre und ob deine HW das überhaupt kann !
Deshalb der gute Rat: Adressiere dein Netz (oder das mit der geringeren Host Anzahl) um wenn du nur eine Handvoll Komponenten hast !
ich hätte die IP 10.20.162.x in unser Netz geroutet, dies ist aber so nicht möglich..
Das ist allen hier klar, denn dann hättest du ja 2mal das 192.168.0.0er Netz und eine eindeutige IP Wegefindung wäre unmöglich wie jedermann ja sehen kann.
Moin,
erst mal - wenn du nicht fit in Netzwerk bist dann hast du dir gleich was gesucht wo du viel Sch... bauen kannst. Wenn du nur temporärer Ersatz bist und das die letzten x Monate/Jahre lief dann warte einfach ab....
Klar kannst du versuchen da mit NAT was zu drehen... Aber: Solang dein Rechner im Netz 192.168.0.x ist (meinetwegen 192.168.0.5) hat er gar keinen Grund ein Paket an den Router zu schicken wenn du auf 192.168.0.10 willst und du auf beiden Seiten nen /24-Netz ist. Da kann also kein NAT helfen. Du KANNST jetzt versuchen dir ein Hilfskonstrukt zu bauen - du machst nen neues Netz auf beiden Seiten (192.168.1.x / 192.168.2.x) und klärst das darüber.
Solang du aber beides in einem Netz hast wird es nicht gehen. Selbst wenn du bei DIR das hinbekommst das du dein Subnetz verkleinerst (/25 z.B.) ist das schön. Damit sendest du dann ggf. sogar die Pakete ins VPN. Deine GEGENSTELLE wird aber wieder eine 192.168.0.x-IP sehen und hat gar keinen Grund die irgendwie über nen Router zu jagen... Wenn es die IP sogar dann im Remote-Netz gibt wird der einfach wieder dahin antworten und die Station wird die Pakete verwerfen.
Du solltest generell schauen, es ist für firmen generell blöd die IP-Ranges 192.168.0.x / 1.x zu nehmen weil hier die meisten privat-netze drin sind (dank vorkonfig in den 08/15-Heimroutern....)
erst mal - wenn du nicht fit in Netzwerk bist dann hast du dir gleich was gesucht wo du viel Sch... bauen kannst. Wenn du nur temporärer Ersatz bist und das die letzten x Monate/Jahre lief dann warte einfach ab....
Klar kannst du versuchen da mit NAT was zu drehen... Aber: Solang dein Rechner im Netz 192.168.0.x ist (meinetwegen 192.168.0.5) hat er gar keinen Grund ein Paket an den Router zu schicken wenn du auf 192.168.0.10 willst und du auf beiden Seiten nen /24-Netz ist. Da kann also kein NAT helfen. Du KANNST jetzt versuchen dir ein Hilfskonstrukt zu bauen - du machst nen neues Netz auf beiden Seiten (192.168.1.x / 192.168.2.x) und klärst das darüber.
Solang du aber beides in einem Netz hast wird es nicht gehen. Selbst wenn du bei DIR das hinbekommst das du dein Subnetz verkleinerst (/25 z.B.) ist das schön. Damit sendest du dann ggf. sogar die Pakete ins VPN. Deine GEGENSTELLE wird aber wieder eine 192.168.0.x-IP sehen und hat gar keinen Grund die irgendwie über nen Router zu jagen... Wenn es die IP sogar dann im Remote-Netz gibt wird der einfach wieder dahin antworten und die Station wird die Pakete verwerfen.
Du solltest generell schauen, es ist für firmen generell blöd die IP-Ranges 192.168.0.x / 1.x zu nehmen weil hier die meisten privat-netze drin sind (dank vorkonfig in den 08/15-Heimroutern....)
Hi
Danke!
Gruß
Zitat von @Dr.Cornwallis:
Moin!
Hätte mir nicht gedacht dass dieses Szenario zu einem so großen Problem wird, theoretisch habe ich mir das so vorgestellt:
Der Traffic der von mir, 192.168.0.0/24 (Bsp vom Host 192.168.0.10) in das gegenüberliegende Netz 10.20.162.0 will, wird via NAT als 10.20.193.10 weitergeleitet.
Ist das so nicht möglich?
Doch, ich weiß nicht wie das bei Cisco ist, aber man kann es natten, beachte jedoch das es zu Problemen kommen kann bei bestimmten Protokollen wie SIP weil dort die Adresse auch im Paket selbst mittransportiert wird. Aber ich bin in Netzwerktechnik auch nicht so fit.Moin!
Hätte mir nicht gedacht dass dieses Szenario zu einem so großen Problem wird, theoretisch habe ich mir das so vorgestellt:
Der Traffic der von mir, 192.168.0.0/24 (Bsp vom Host 192.168.0.10) in das gegenüberliegende Netz 10.20.162.0 will, wird via NAT als 10.20.193.10 weitergeleitet.
Ist das so nicht möglich?
Danke!
Gruß
Hi,
irgendwie verstehe ich das nicht.
Dein Ziel ist doch die 10.20.162.x und nicht das 192.168.0.0/16 auf der anderen Seite?
Warum soll denn die Route überhaupt ins 192.168.0.0/16 gehen?
Oder liegt der Router für das 10.20.162.x im 192.168.0.0/16 auf der anderen Seite?
Die VPN-Endgeräte haben doch eine feste IP, oder?
Eine andere Idee, bitte doch die Gegenseite dort das NAT zu machen.
VG,
Deepsys
irgendwie verstehe ich das nicht.
Dein Ziel ist doch die 10.20.162.x und nicht das 192.168.0.0/16 auf der anderen Seite?
Warum soll denn die Route überhaupt ins 192.168.0.0/16 gehen?
Oder liegt der Router für das 10.20.162.x im 192.168.0.0/16 auf der anderen Seite?
Die VPN-Endgeräte haben doch eine feste IP, oder?
ich hätte die IP 10.20.162.x in unser Netz geroutet
??? Wo ist die Adresse, bei dir, oder gegenseite?Eine andere Idee, bitte doch die Gegenseite dort das NAT zu machen.
VG,
Deepsys
Zitat von @Dr.Cornwallis:
so wollte ich die Access Lists und co. konfigurieren, leider sagt die Gegenseite dass bereits alle 192.168.0.0/16 für VPN's vergeben sind,
OK, die haben als Gegenstellen alle 192.168.0.0/16 wegso wollte ich die Access Lists und co. konfigurieren, leider sagt die Gegenseite dass bereits alle 192.168.0.0/16 für VPN's vergeben sind,
daher kam der Vorschlag:
Mein Netz soll zu 10.20.193.0 werden und
zur
Gegenseite 10.20.162.0
OK, dann ist es doch so wie du gesagt hast, du musst deines im Router natten
Leider kann ich dir dabei für Cisco nicht weiterhelfen, aber es sieht dann logisch so aus:
192.168.0.0/24 =NAT=> 10.20.193.0/24 <> VPN <> 10.20.162.0/24
Ich würde es noch was anders machen um mit den 10.20. nicht durcheinander zu kommen:
192.168.0.0/24 =NAT=> 10.1.99.0/24 <> VPN <> 10.20.162.0/24
Beim Cisco (wenn es ein IOS Router oder Switch ist) steht alles hier:
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
https://www.computernetworkingnotes.com/ccna-study-guide/how-to-configur ...
Wichtig ist hier das das NAT am Cisco beidseitig gemacht wird.
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
https://www.computernetworkingnotes.com/ccna-study-guide/how-to-configur ...
Wichtig ist hier das das NAT am Cisco beidseitig gemacht wird.
Hallo,
ein einfaches
sollte deine Anforderung erfüllen.
dann noch die Route
Aber, du öffnest im Zweifelsfall dein ganzes Netz für die Gegenseite ... und das willst du vermutlich nicht....
Dein Netzwerk Design mit 192.168.0.0 /16 ist an 2 Stellen "Kritisch".
Stelle 1 = 192.168.0.0
Stelle 2 = /16
Beides bereitet dir jetzt Kopfschmerzen da schlecht designed.
brammer
ein einfaches
ip nat outside source static network 192.168.0.0 /16 10.20.162.0 /24
sollte deine Anforderung erfüllen.
dann noch die Route
ip route 192.168.0.0 0.0.255.255. <dein_Gateway>
Aber, du öffnest im Zweifelsfall dein ganzes Netz für die Gegenseite ... und das willst du vermutlich nicht....
Dein Netzwerk Design mit 192.168.0.0 /16 ist an 2 Stellen "Kritisch".
Stelle 1 = 192.168.0.0
Stelle 2 = /16
Beides bereitet dir jetzt Kopfschmerzen da schlecht designed.
brammer
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr/command/ipaddr- ...
So kann es also nicht die Lösung gewesen sein !
Logisch, denn du kannst ja kein ganzes Netz translaten. Und wenn dann bestünde die große Gefahr das du doppelte IP Adressen im Zielnetz hast, denn der Translation Prozess weiss ja nicht welche IPs aktiv im zu übersetzenden Zielnetz benutzt werden. Aus IP Adress Sicht wäre das tödlich.
Deshalb gibt es so ein Kommando auch nicht.
Wenn überhaupt, dann ginge es nur über die Pool Funktion, das du aus dem zu translatenden Zielnetz einen Pool von Adressen nutzt die dort NICHT verwendet werden und wohin du dein Netz translatest.
Das wäre auch der übliche Weg wie es im NAT Guide dargestellt ist für dynmaisches NAT:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
Nur so kann das sicher klappen.
Vermutlich hast du es auch so gemacht und hier schlicht falsch wiedergegeben, denn eine andere Option gibt es ja eh nicht.
Hallo,
@aqui,
Doch, dieses Kommando gibt es ....
Unter der Überschrift
Network Static NAT
Steht genau dieses Kommando. Und da die beiden Netze unterschiedliche gross sind brauchen beide Netzwerke die Maske.
Brammer
@aqui,
Doch, dieses Kommando gibt es ....
Unter der Überschrift
Network Static NAT
Steht genau dieses Kommando. Und da die beiden Netze unterschiedliche gross sind brauchen beide Netzwerke die Maske.
Brammer