gelöst Hilfe bei NAT bzw. VPN

Mitglied: Dr.Cornwallis

Dr.Cornwallis (Level 1) - Jetzt verbinden

27.09.2018, aktualisiert 01.10.2018, 1109 Aufrufe, 17 Kommentare

Liebe Gemeinde,

ich bräuchte dringend Hilfe, da ich nicht allzu fit in Netzwerktechnik bin und ich als temporärer Ersatz diene:

Ein Site to Site VPN anlegen, es soll danach möglich sein dass von meinem Netz (192.168.0.0/24) Zugriff auf die IP 10.20.162.x (oder Netz 10.20.162.0) möglich ist, soweit so gut, nun sagt die gegenüberliegende Seite sie das Netz 192.168.0.0/16 bereits in Verwendung hat, daher müsste ich das Ganze via NAT lösen (denke mal mit einem Outside NAT, aber wie genau), hab ich aber leider noch nie gemacht, das VPN baut ein Cisco Router auf..

Könnte mir jemand erklären wie das Netzwerk auszusehen hat, ich hätte die IP 10.20.162.x in unser Netz geroutet, dies ist aber so nicht möglich..


Bitte um Hilfe!

Danke!

Gruß

Dr.
Mitglied: aqui
27.09.2018, aktualisiert um 11:20 Uhr
nun sagt die gegenüberliegende Seite sie das Netz 192.168.0.0/16 bereits in Verwendung hat
Ganz ehrlich ??!!
Ändere deine Netzwerk Adressierung wenn du ein kleineres Netz hast. Der 16 Bit Prefix der anderen Seite lässt ja vermuten das dort mehrere Netze in Verwendung sind mit diesem Prefix.
Nimm ein etwas exotischeres 172er Netz für dich und gut iss:
https://www.administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc ...

Wenn du bei NAT nicht wirklich weisst was du da tust und vor allem...deine Hardware ggf. nur einen Teil vom NAT supportet (du brauchst hier symetrisches NAT) wird das mit einen Vorkenntnissen ggf. ein Himmelfahrtskommando.
Zumal du nicht einmal deine vorhandene Hardware benennen kannst damit wir abschätzen könnten wie hoch der Konfig Aufwand wäre und ob deine HW das überhaupt kann !
Deshalb der gute Rat: Adressiere dein Netz (oder das mit der geringeren Host Anzahl) um wenn du nur eine Handvoll Komponenten hast !
ich hätte die IP 10.20.162.x in unser Netz geroutet, dies ist aber so nicht möglich..
Das ist allen hier klar, denn dann hättest du ja 2mal das 192.168.0.0er Netz und eine eindeutige IP Wegefindung wäre unmöglich wie jedermann ja sehen kann.
Bitte warten ..
Mitglied: Dr.Cornwallis
27.09.2018 um 12:16 Uhr
HI,

sorry, meine Netzwerkadressierung ändern ist nicht möglich da es bereits verschiedene VPN Verbindungen gibt.
als Hardware dient ein Cisco 891, mit diesem soll die VPN Verbindung aufgebaut werden, von der Gegenseite wurde mir folgendes vorgeschlagen:

Mein Netz: 10.20.193.0
Gegenüberliegende Seite: 10.20.162.0



Danke!
Bitte warten ..
Mitglied: maretz
27.09.2018 um 12:29 Uhr
Moin,

erst mal - wenn du nicht fit in Netzwerk bist dann hast du dir gleich was gesucht wo du viel Sch... bauen kannst. Wenn du nur temporärer Ersatz bist und das die letzten x Monate/Jahre lief dann warte einfach ab....

Klar kannst du versuchen da mit NAT was zu drehen... Aber: Solang dein Rechner im Netz 192.168.0.x ist (meinetwegen 192.168.0.5) hat er gar keinen Grund ein Paket an den Router zu schicken wenn du auf 192.168.0.10 willst und du auf beiden Seiten nen /24-Netz ist. Da kann also kein NAT helfen. Du KANNST jetzt versuchen dir ein Hilfskonstrukt zu bauen - du machst nen neues Netz auf beiden Seiten (192.168.1.x / 192.168.2.x) und klärst das darüber.

Solang du aber beides in einem Netz hast wird es nicht gehen. Selbst wenn du bei DIR das hinbekommst das du dein Subnetz verkleinerst (/25 z.B.) ist das schön. Damit sendest du dann ggf. sogar die Pakete ins VPN. Deine GEGENSTELLE wird aber wieder eine 192.168.0.x-IP sehen und hat gar keinen Grund die irgendwie über nen Router zu jagen... Wenn es die IP sogar dann im Remote-Netz gibt wird der einfach wieder dahin antworten und die Station wird die Pakete verwerfen.

Du solltest generell schauen, es ist für firmen generell blöd die IP-Ranges 192.168.0.x / 1.x zu nehmen weil hier die meisten privat-netze drin sind (dank vorkonfig in den 08/15-Heimroutern....)
Bitte warten ..
Mitglied: Dr.Cornwallis
27.09.2018 um 12:40 Uhr
Moin!

Hätte mir nicht gedacht dass dieses Szenario zu einem so großen Problem wird, theoretisch habe ich mir das so vorgestellt:

Der Traffic der von mir, 192.168.0.0/24 (Bsp vom Host 192.168.0.10) in das gegenüberliegende Netz 10.20.162.0 will, wird via NAT als 10.20.193.10 weitergeleitet.

Ist das so nicht möglich?

Danke!

Gruß
Bitte warten ..
Mitglied: canlot
27.09.2018 um 12:57 Uhr
Hi
Zitat von Dr.Cornwallis:

Moin!

Hätte mir nicht gedacht dass dieses Szenario zu einem so großen Problem wird, theoretisch habe ich mir das so vorgestellt:

Der Traffic der von mir, 192.168.0.0/24 (Bsp vom Host 192.168.0.10) in das gegenüberliegende Netz 10.20.162.0 will, wird via NAT als 10.20.193.10 weitergeleitet.

Ist das so nicht möglich?
Doch, ich weiß nicht wie das bei Cisco ist, aber man kann es natten, beachte jedoch das es zu Problemen kommen kann bei bestimmten Protokollen wie SIP weil dort die Adresse auch im Paket selbst mittransportiert wird. Aber ich bin in Netzwerktechnik auch nicht so fit.

Danke!

Gruß
Bitte warten ..
Mitglied: Dr.Cornwallis
27.09.2018 um 12:59 Uhr
BZW dass das komplette Netz 192.168.0.0 über dieses VPN zu 10.20.162.0 als 10.20.193.0 übertragen wird. Der Tunnel grundsätzlich ist UP, es geht hier rein um die Subnetze/Access Lists

Gruß
Bitte warten ..
Mitglied: Deepsys
27.09.2018 um 13:00 Uhr
Hi,

irgendwie verstehe ich das nicht.
Dein Ziel ist doch die 10.20.162.x und nicht das 192.168.0.0/16 auf der anderen Seite?
Warum soll denn die Route überhaupt ins 192.168.0.0/16 gehen?
Oder liegt der Router für das 10.20.162.x im 192.168.0.0/16 auf der anderen Seite?
Die VPN-Endgeräte haben doch eine feste IP, oder?

ich hätte die IP 10.20.162.x in unser Netz geroutet
??? Wo ist die Adresse, bei dir, oder gegenseite?

Eine andere Idee, bitte doch die Gegenseite dort das NAT zu machen.

VG,
Deepsys
Bitte warten ..
Mitglied: Dr.Cornwallis
27.09.2018, aktualisiert um 13:33 Uhr
es sieht so aus:

Unser internes Netzwerk: 192.168.0.0/16

Nun soll:

Mein Netz 192.168.0.0/24
zur
Gegenseite 10.20.162.0/24

so wollte ich die Access Lists und co. konfigurieren, leider sagt die Gegenseite dass bereits alle 192.168.0.0/16 für VPN's vergeben sind, daher kam der Vorschlag:

Mein Netz soll zu 10.20.193.0 werden und
zur
Gegenseite 10.20.162.0

Zur Info:

Eigentlich wäre ich wie folgt vorgegangen:

Mein Netz 192.168.0.0/24
Gegenseite 192.168.166.0/24

Dann kam die Rückmeldung von deren IT dass dae Netz 192.168.0.0/16 bereits verwendet wird, also kam der Gegenvorschlag:

Mein Netz 10.20.193.0
Gegenseite 10.20.162.0

Gruß
Bitte warten ..
Mitglied: Deepsys
27.09.2018 um 13:36 Uhr
Zitat von Dr.Cornwallis:
so wollte ich die Access Lists und co. konfigurieren, leider sagt die Gegenseite dass bereits alle 192.168.0.0/16 für VPN's vergeben sind,
OK, die haben als Gegenstellen alle 192.168.0.0/16 weg

daher kam der Vorschlag:

Mein Netz soll zu 10.20.193.0 werden und
zur
Gegenseite 10.20.162.0

OK, dann ist es doch so wie du gesagt hast, du musst deines im Router natten

Leider kann ich dir dabei für Cisco nicht weiterhelfen, aber es sieht dann logisch so aus:

192.168.0.0/24 =NAT=> 10.20.193.0/24 <> VPN <> 10.20.162.0/24

Ich würde es noch was anders machen um mit den 10.20. nicht durcheinander zu kommen:
192.168.0.0/24 =NAT=> 10.1.99.0/24 <> VPN <> 10.20.162.0/24
Bitte warten ..
Mitglied: brammer
LÖSUNG 27.09.2018, aktualisiert um 13:46 Uhr
Hallo,

ein einfaches
sollte deine Anforderung erfüllen.
dann noch die Route
Aber, du öffnest im Zweifelsfall dein ganzes Netz für die Gegenseite ... und das willst du vermutlich nicht....

Dein Netzwerk Design mit 192.168.0.0 /16 ist an 2 Stellen "Kritisch".
Stelle 1 = 192.168.0.0
Stelle 2 = /16

Beides bereitet dir jetzt Kopfschmerzen da schlecht designed.

brammer
Bitte warten ..
Mitglied: Dr.Cornwallis
27.09.2018 um 14:02 Uhr
Moin,

Unser Netz 192.168.0.0/16 ist in mehrere Vlans aufgeteilt, es geht darum dass wir mit dem Netz 192.168.0.0/24 (unser Client Netz) in deren Netz für Supporttätigkeiten kommen.

2 Fragen/Unklarheiten:

Sollte dann der og. Befehl nicht:

ip nat outside source static network 192.168.0.0 /24 10.20.162.0 /24 heißen und wo wird festgelegt dass das 192.168.0.0 Netz zu 10.20.193.0 wird?

Und ich möchte dass unser 192.168.0.0/24 Netz nur in deren 10.20.162.0 genatet wird, nicht allgemein bzw. in andere Netze

Danke!
Bitte warten ..
Mitglied: Dr.Cornwallis
01.10.2018 um 12:15 Uhr
Moin,

ich konnte das Problem mit folgenden Befehl lösen:

Dann doch die Access Lists und Routing dazu -> Verbindung OK

Danke für eure Hilfe
Bitte warten ..
Mitglied: aqui
01.10.2018, aktualisiert 02.10.2018
Das o.a. Kommando gibt es im Cisco IOS gar nicht !!
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr/command/ipaddr- ...
So kann es also nicht die Lösung gewesen sein !
Logisch, denn du kannst ja kein ganzes Netz translaten. Und wenn dann bestünde die große Gefahr das du doppelte IP Adressen im Zielnetz hast, denn der Translation Prozess weiss ja nicht welche IPs aktiv im zu übersetzenden Zielnetz benutzt werden. Aus IP Adress Sicht wäre das tödlich.
Deshalb gibt es so ein Kommando auch nicht.


Wenn überhaupt, dann ginge es nur über die Pool Funktion, das du aus dem zu translatenden Zielnetz einen Pool von Adressen nutzt die dort NICHT verwendet werden und wohin du dein Netz translatest.
Das wäre auch der übliche Weg wie es im NAT Guide dargestellt ist für dynmaisches NAT:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
Nur so kann das sicher klappen.
Vermutlich hast du es auch so gemacht und hier schlicht falsch wiedergegeben, denn eine andere Option gibt es ja eh nicht.
Bitte warten ..
Mitglied: brammer
01.10.2018 um 17:47 Uhr
Hallo,

@aqui,

Doch, dieses Kommando gibt es ....
Unter der Überschrift

Network Static NAT

Steht genau dieses Kommando. Und da die beiden Netze unterschiedliche gross sind brauchen beide Netzwerke die Maske.

Brammer
Bitte warten ..
Mitglied: Dr.Cornwallis
01.10.2018 um 18:28 Uhr
@aqui: doch den Befehl findest du sogar in deinem Link
Bitte warten ..
Mitglied: aqui
02.10.2018, aktualisiert um 14:05 Uhr
OK, sorry, im Eifer des Gefechts temporäre Tomaten auf den Augen...
Trotzdem birgt das aber die Gefahr der IP Adress Dopplung wenn man direkt in das Zielnetzwerk NATet und ohne Pool arbeitet !!
Genau deswegen haben die Beispiele alle einen Pool definiert.
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware26 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

Schulung & Training
IT Ausbildung
gelöst IntershipFrageSchulung & Training18 Kommentare

Hallo Leute, ist diese Ausbildung etwas für den IT-Einstig? Willkommen bei der GFN! Arbeitsuchende Berufstätige Kostenträger Über uns Jobs ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++17 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Windows Server
Terminal Server Hyper-V Grafik performance
ReneM1983FrageWindows Server17 Kommentare

Moin Kollegen, ich habe da mal ein Problem, ein Kunde hat einen Terminal Server auf einem Hyper-V laufen, wo ...

Verschlüsselung & Zertifikate
Elektronische Unterschrift
gelöst PeterzFrageVerschlüsselung & Zertifikate14 Kommentare

Hallo zusammen, könnt ihr mir vielleicht ein paar Hinweise geben, wie ihr eine elektronische Unterschrift unter Dokumente und E-Mails ...

Ähnliche Inhalte
Router & Routing
Cisco887VAW -VPN NAT-Freigabe
Serial90FrageRouter & Routing11 Kommentare

Moin moin, ich habe mal wieder ein kleines Problem mit meinem 887. Und zwar: Ich habe einen VPN Tunneln ...

Router & Routing
VPN Site2Site NAT auf andere IP
BytedreherFrageRouter & Routing10 Kommentare

Moin zusammen, wir haben folgende Situation, ein Lieferant hat eine IKEv2 Site2Site Verbindung zu uns. Der Lieferant möchte aber ...

Batch & Shell
Brauche hilf bei einer batch Datei
gelöst PilllllleFrageBatch & Shell7 Kommentare

hallo, ich versuche mit Hilfe von einer batch- Datei eine bestimmt Zeile aus einer txt- Datei in eine neue ...

Router & Routing

Open VPN hinter NAT im flachen Netzwerk möglich?

EDVMan27FrageRouter & Routing8 Kommentare

Hallo, aktuell ist bei dem Kunden alles wie es soll. PFsense mit LAN (10.1.1.1) und WAN per PPPoE und ...

Firewall

IPSec VPN IKEv2 mit Zywall VPN Client hinter NAT - falscher DNS?

gelöst KodaCHFrageFirewall5 Kommentare

Guten Morgen Ich habe mich daran versucht eine VPN Verbindung mit einer ZyWall zu erstellen. Dies ist Primär nicht ...

Netzwerkmanagement

Virtualbox NAT

TechTobiFrageNetzwerkmanagement8 Kommentare

Hallo Leute, ich habe mal eine Netzwerkfrage mit der Verbindung im Bereich virtualbox. Laut diesem Blog wird der Host ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT