dr.cornwallis
Goto Top

Hilfe bei NAT bzw. VPN

Liebe Gemeinde,

ich bräuchte dringend Hilfe, da ich nicht allzu fit in Netzwerktechnik bin und ich als temporärer Ersatz diene:

Ein Site to Site VPN anlegen, es soll danach möglich sein dass von meinem Netz (192.168.0.0/24) Zugriff auf die IP 10.20.162.x (oder Netz 10.20.162.0) möglich ist, soweit so gut, nun sagt die gegenüberliegende Seite sie das Netz 192.168.0.0/16 bereits in Verwendung hat, daher müsste ich das Ganze via NAT lösen (denke mal mit einem Outside NAT, aber wie genau), hab ich aber leider noch nie gemacht, das VPN baut ein Cisco Router auf..

Könnte mir jemand erklären wie das Netzwerk auszusehen hat, ich hätte die IP 10.20.162.x in unser Netz geroutet, dies ist aber so nicht möglich..


Bitte um Hilfe!

Danke!

Gruß

Dr.

Content-ID: 387786

Url: https://administrator.de/forum/hilfe-bei-nat-bzw-vpn-387786.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

aqui
aqui 27.09.2018 aktualisiert um 11:20:35 Uhr
Goto Top
nun sagt die gegenüberliegende Seite sie das Netz 192.168.0.0/16 bereits in Verwendung hat
Ganz ehrlich ??!!
Ändere deine Netzwerk Adressierung wenn du ein kleineres Netz hast. Der 16 Bit Prefix der anderen Seite lässt ja vermuten das dort mehrere Netze in Verwendung sind mit diesem Prefix.
Nimm ein etwas exotischeres 172er Netz für dich und gut iss:
VPNs einrichten mit PPTP

Wenn du bei NAT nicht wirklich weisst was du da tust und vor allem...deine Hardware ggf. nur einen Teil vom NAT supportet (du brauchst hier symetrisches NAT) wird das mit einen Vorkenntnissen ggf. ein Himmelfahrtskommando.
Zumal du nicht einmal deine vorhandene Hardware benennen kannst damit wir abschätzen könnten wie hoch der Konfig Aufwand wäre und ob deine HW das überhaupt kann !
Deshalb der gute Rat: Adressiere dein Netz (oder das mit der geringeren Host Anzahl) um wenn du nur eine Handvoll Komponenten hast !
ich hätte die IP 10.20.162.x in unser Netz geroutet, dies ist aber so nicht möglich..
Das ist allen hier klar, denn dann hättest du ja 2mal das 192.168.0.0er Netz und eine eindeutige IP Wegefindung wäre unmöglich wie jedermann ja sehen kann.
Dr.Cornwallis
Dr.Cornwallis 27.09.2018 um 12:16:39 Uhr
Goto Top
HI,

sorry, meine Netzwerkadressierung ändern ist nicht möglich da es bereits verschiedene VPN Verbindungen gibt.
als Hardware dient ein Cisco 891, mit diesem soll die VPN Verbindung aufgebaut werden, von der Gegenseite wurde mir folgendes vorgeschlagen:

Mein Netz: 10.20.193.0
Gegenüberliegende Seite: 10.20.162.0


Danke!
maretz
maretz 27.09.2018 um 12:29:19 Uhr
Goto Top
Moin,

erst mal - wenn du nicht fit in Netzwerk bist dann hast du dir gleich was gesucht wo du viel Sch... bauen kannst. Wenn du nur temporärer Ersatz bist und das die letzten x Monate/Jahre lief dann warte einfach ab....

Klar kannst du versuchen da mit NAT was zu drehen... Aber: Solang dein Rechner im Netz 192.168.0.x ist (meinetwegen 192.168.0.5) hat er gar keinen Grund ein Paket an den Router zu schicken wenn du auf 192.168.0.10 willst und du auf beiden Seiten nen /24-Netz ist. Da kann also kein NAT helfen. Du KANNST jetzt versuchen dir ein Hilfskonstrukt zu bauen - du machst nen neues Netz auf beiden Seiten (192.168.1.x / 192.168.2.x) und klärst das darüber.

Solang du aber beides in einem Netz hast wird es nicht gehen. Selbst wenn du bei DIR das hinbekommst das du dein Subnetz verkleinerst (/25 z.B.) ist das schön. Damit sendest du dann ggf. sogar die Pakete ins VPN. Deine GEGENSTELLE wird aber wieder eine 192.168.0.x-IP sehen und hat gar keinen Grund die irgendwie über nen Router zu jagen... Wenn es die IP sogar dann im Remote-Netz gibt wird der einfach wieder dahin antworten und die Station wird die Pakete verwerfen.

Du solltest generell schauen, es ist für firmen generell blöd die IP-Ranges 192.168.0.x / 1.x zu nehmen weil hier die meisten privat-netze drin sind (dank vorkonfig in den 08/15-Heimroutern....)
Dr.Cornwallis
Dr.Cornwallis 27.09.2018 um 12:40:54 Uhr
Goto Top
Moin!

Hätte mir nicht gedacht dass dieses Szenario zu einem so großen Problem wird, theoretisch habe ich mir das so vorgestellt:

Der Traffic der von mir, 192.168.0.0/24 (Bsp vom Host 192.168.0.10) in das gegenüberliegende Netz 10.20.162.0 will, wird via NAT als 10.20.193.10 weitergeleitet.

Ist das so nicht möglich?

Danke!

Gruß
canlot
canlot 27.09.2018 um 12:57:02 Uhr
Goto Top
Hi
Zitat von @Dr.Cornwallis:

Moin!

Hätte mir nicht gedacht dass dieses Szenario zu einem so großen Problem wird, theoretisch habe ich mir das so vorgestellt:

Der Traffic der von mir, 192.168.0.0/24 (Bsp vom Host 192.168.0.10) in das gegenüberliegende Netz 10.20.162.0 will, wird via NAT als 10.20.193.10 weitergeleitet.

Ist das so nicht möglich?
Doch, ich weiß nicht wie das bei Cisco ist, aber man kann es natten, beachte jedoch das es zu Problemen kommen kann bei bestimmten Protokollen wie SIP weil dort die Adresse auch im Paket selbst mittransportiert wird. Aber ich bin in Netzwerktechnik auch nicht so fit.

Danke!

Gruß
Dr.Cornwallis
Dr.Cornwallis 27.09.2018 um 12:59:48 Uhr
Goto Top
BZW dass das komplette Netz 192.168.0.0 über dieses VPN zu 10.20.162.0 als 10.20.193.0 übertragen wird. Der Tunnel grundsätzlich ist UP, es geht hier rein um die Subnetze/Access Lists

Gruß
Deepsys
Deepsys 27.09.2018 um 13:00:28 Uhr
Goto Top
Hi,

irgendwie verstehe ich das nicht.
Dein Ziel ist doch die 10.20.162.x und nicht das 192.168.0.0/16 auf der anderen Seite?
Warum soll denn die Route überhaupt ins 192.168.0.0/16 gehen?
Oder liegt der Router für das 10.20.162.x im 192.168.0.0/16 auf der anderen Seite?
Die VPN-Endgeräte haben doch eine feste IP, oder?

ich hätte die IP 10.20.162.x in unser Netz geroutet
??? Wo ist die Adresse, bei dir, oder gegenseite?

Eine andere Idee, bitte doch die Gegenseite dort das NAT zu machen.

VG,
Deepsys
Dr.Cornwallis
Dr.Cornwallis 27.09.2018 aktualisiert um 13:33:55 Uhr
Goto Top
es sieht so aus:

Unser internes Netzwerk: 192.168.0.0/16

Nun soll:

Mein Netz 192.168.0.0/24
zur
Gegenseite 10.20.162.0/24

so wollte ich die Access Lists und co. konfigurieren, leider sagt die Gegenseite dass bereits alle 192.168.0.0/16 für VPN's vergeben sind, daher kam der Vorschlag:

Mein Netz soll zu 10.20.193.0 werden und
zur
Gegenseite 10.20.162.0

Zur Info:

Eigentlich wäre ich wie folgt vorgegangen:

Mein Netz 192.168.0.0/24
Gegenseite 192.168.166.0/24

Dann kam die Rückmeldung von deren IT dass dae Netz 192.168.0.0/16 bereits verwendet wird, also kam der Gegenvorschlag:

Mein Netz 10.20.193.0
Gegenseite 10.20.162.0

Gruß
Deepsys
Deepsys 27.09.2018 um 13:36:22 Uhr
Goto Top
Zitat von @Dr.Cornwallis:
so wollte ich die Access Lists und co. konfigurieren, leider sagt die Gegenseite dass bereits alle 192.168.0.0/16 für VPN's vergeben sind,
OK, die haben als Gegenstellen alle 192.168.0.0/16 weg

daher kam der Vorschlag:

Mein Netz soll zu 10.20.193.0 werden und
zur
Gegenseite 10.20.162.0

OK, dann ist es doch so wie du gesagt hast, du musst deines im Router natten face-smile

Leider kann ich dir dabei für Cisco nicht weiterhelfen, aber es sieht dann logisch so aus:

192.168.0.0/24 =NAT=> 10.20.193.0/24 <> VPN <> 10.20.162.0/24

Ich würde es noch was anders machen um mit den 10.20. nicht durcheinander zu kommen:
192.168.0.0/24 =NAT=> 10.1.99.0/24 <> VPN <> 10.20.162.0/24
aqui
aqui 27.09.2018 aktualisiert um 13:39:14 Uhr
Goto Top
brammer
Lösung brammer 27.09.2018 aktualisiert um 13:46:27 Uhr
Goto Top
Hallo,

ein einfaches
ip nat outside source static network 192.168.0.0 /16 10.20.162.0 /24

sollte deine Anforderung erfüllen.
dann noch die Route
ip route 192.168.0.0 0.0.255.255. <dein_Gateway>

Aber, du öffnest im Zweifelsfall dein ganzes Netz für die Gegenseite ... und das willst du vermutlich nicht....

Dein Netzwerk Design mit 192.168.0.0 /16 ist an 2 Stellen "Kritisch".
Stelle 1 = 192.168.0.0
Stelle 2 = /16

Beides bereitet dir jetzt Kopfschmerzen da schlecht designed.

brammer
Dr.Cornwallis
Dr.Cornwallis 27.09.2018 um 14:02:48 Uhr
Goto Top
Moin,

Unser Netz 192.168.0.0/16 ist in mehrere Vlans aufgeteilt, es geht darum dass wir mit dem Netz 192.168.0.0/24 (unser Client Netz) in deren Netz für Supporttätigkeiten kommen.

2 Fragen/Unklarheiten:

Sollte dann der og. Befehl nicht:

ip nat outside source static network 192.168.0.0 /24 10.20.162.0 /24 heißen und wo wird festgelegt dass das 192.168.0.0 Netz zu 10.20.193.0 wird?

Und ich möchte dass unser 192.168.0.0/24 Netz nur in deren 10.20.162.0 genatet wird, nicht allgemein bzw. in andere Netze

Danke!
Dr.Cornwallis
Dr.Cornwallis 01.10.2018 um 12:15:27 Uhr
Goto Top
Moin,

ich konnte das Problem mit folgenden Befehl lösen:

ip nat inside source static  Network 192.168.0.0 10.20.162.0 /24

Dann doch die Access Lists und Routing dazu -> Verbindung OK

Danke für eure Hilfe
aqui
aqui 01.10.2018, aktualisiert am 02.10.2018 um 14:02:44 Uhr
Goto Top
Das o.a. Kommando gibt es im Cisco IOS gar nicht !!
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr/command/ipaddr- ...
So kann es also nicht die Lösung gewesen sein ! face-sad
Logisch, denn du kannst ja kein ganzes Netz translaten. Und wenn dann bestünde die große Gefahr das du doppelte IP Adressen im Zielnetz hast, denn der Translation Prozess weiss ja nicht welche IPs aktiv im zu übersetzenden Zielnetz benutzt werden. Aus IP Adress Sicht wäre das tödlich.
Deshalb gibt es so ein Kommando auch nicht.


Wenn überhaupt, dann ginge es nur über die Pool Funktion, das du aus dem zu translatenden Zielnetz einen Pool von Adressen nutzt die dort NICHT verwendet werden und wohin du dein Netz translatest.
Das wäre auch der übliche Weg wie es im NAT Guide dargestellt ist für dynmaisches NAT:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
Nur so kann das sicher klappen.
Vermutlich hast du es auch so gemacht und hier schlicht falsch wiedergegeben, denn eine andere Option gibt es ja eh nicht.
brammer
brammer 01.10.2018 um 17:47:30 Uhr
Goto Top
Hallo,

@aqui,

Doch, dieses Kommando gibt es ....
Unter der Überschrift

Network Static NAT

Steht genau dieses Kommando. Und da die beiden Netze unterschiedliche gross sind brauchen beide Netzwerke die Maske.

Brammer
Dr.Cornwallis
Dr.Cornwallis 01.10.2018 um 18:28:47 Uhr
Goto Top
@aqui: doch den Befehl findest du sogar in deinem Link
aqui
aqui 02.10.2018 aktualisiert um 14:05:11 Uhr
Goto Top
OK, sorry, im Eifer des Gefechts temporäre Tomaten auf den Augen... face-smile
Trotzdem birgt das aber die Gefahr der IP Adress Dopplung wenn man direkt in das Zielnetzwerk NATet und ohne Pool arbeitet !!
Genau deswegen haben die Beispiele alle einen Pool definiert.