4
IP-Adressen markieren WatchGuard Firebox
Moin,
wie kann ich IP-Adressen in einer WatchGuard Firebox maskieren bei der Nutzung von S2S-Tunneln?
Folgende Ausgangssituation: Wir nutzen ein lokales VPN-Netzwerk nach dem Muster 192.168.123.0/24, dabei hat unser Rechner von dem wir in dem Netzwerk arbeiten die Adresse 192.168.123.100. Die Gegenseite möchte nun gerne das Netz 192.168.125.0/28 mit einer NAT unseres Netzes mit 192.168.125.0/28 haben. Die Einrichtung der NAT ist soweit kein Problem, allerdings ist unser Rechner dann natürlich kein Teil des Netzwerkes mehr. Dafür wäre mindestens /25 nötig.
Wie kann die IP-Adressen so maskieren, dass die Adresse 192.168.123.100 auf z.B. 192.168.123.5 für diesen Tunnel maskiert wird?
Mit freundlichen Grüßen
wie kann ich IP-Adressen in einer WatchGuard Firebox maskieren bei der Nutzung von S2S-Tunneln?
Folgende Ausgangssituation: Wir nutzen ein lokales VPN-Netzwerk nach dem Muster 192.168.123.0/24, dabei hat unser Rechner von dem wir in dem Netzwerk arbeiten die Adresse 192.168.123.100. Die Gegenseite möchte nun gerne das Netz 192.168.125.0/28 mit einer NAT unseres Netzes mit 192.168.125.0/28 haben. Die Einrichtung der NAT ist soweit kein Problem, allerdings ist unser Rechner dann natürlich kein Teil des Netzwerkes mehr. Dafür wäre mindestens /25 nötig.
Wie kann die IP-Adressen so maskieren, dass die Adresse 192.168.123.100 auf z.B. 192.168.123.5 für diesen Tunnel maskiert wird?
Mit freundlichen Grüßen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4006187242
Url: https://administrator.de/contentid/4006187242
Printed on: April 26, 2024 at 23:04 o'clock
4 Comments
Latest comment
.
Hä?
Heißt: Beschreibe Dein Problem so, daß wir Außenstehende verstehen, was genau Du machen willst.
Ansonsten sagt meine Kristallkugel: Beauftrage jemanden, der auch damit auskennt.
lks
Hä?
Heißt: Beschreibe Dein Problem so, daß wir Außenstehende verstehen, was genau Du machen willst.
- Von wo nach wo geht das VPN.
- Sind die IP-Adressen die lokalen Adressen oder die vom PPN-Tunnel/Server
- Habt ihr ein Client-2-Server-VPN oder ein Site2Site-VPN.
- welches Protokl und welche Produkte setzt ihr ein
- usw.
Ansonsten sagt meine Kristallkugel: Beauftrage jemanden, der auch damit auskennt.
lks
Dann versuche ich es nochmal etwas anders darzustellen:
Wir nutzen VPN S2S-Tunnel um uns mit anderen Standorten von Kunden zu verbinden.
Unser lokales Netz in der WatchGuard Firebox welches wir für die Verbindung nutzen lautet 192.168.123.0/24. Das Netz sehen theoretisch auch unsere Kunden. Bei manchen Kunden ist eine 1:1-NAT erforderlich, die kann auch problemlos eingetragen werden.
Jetzt ist es in einem Fall so, dass das Netz vom Kunden "lediglich" ein x.x.x.0/28 Netz ist, das bedeutet es können ja nur 14 Adressen genutzt werden. In diesem Fall ist die letzte nutzbare Adresse x.x.x.14. Jetzt ist es leider so, dass die Rechner, von denen wir auf die VPN zugreifen können die Adresse x.x.x.100 hätte somit im /28er Netz des Kunden nicht inbegriffen ist. Da müsste ich jetzt die IP-Adressen vor dem Eintritt in den Tunnel so anpassen, dass diese in dem konfigurierten /28er Netz sind. Diese Option habe ich in der GUI der WatchGuard Firebox nicht gefunden, lediglich 1:1-NAT und DNAT was mich nicht weiterbringt.
Daher war meine Frage, ob es noch weitere Einstellungen dazu gibt. WatchGuard selber verweist beim Begriff maskieren nur auf die 1:1-NAT und DNAT.
Gruß
Wir nutzen VPN S2S-Tunnel um uns mit anderen Standorten von Kunden zu verbinden.
Unser lokales Netz in der WatchGuard Firebox welches wir für die Verbindung nutzen lautet 192.168.123.0/24. Das Netz sehen theoretisch auch unsere Kunden. Bei manchen Kunden ist eine 1:1-NAT erforderlich, die kann auch problemlos eingetragen werden.
Jetzt ist es in einem Fall so, dass das Netz vom Kunden "lediglich" ein x.x.x.0/28 Netz ist, das bedeutet es können ja nur 14 Adressen genutzt werden. In diesem Fall ist die letzte nutzbare Adresse x.x.x.14. Jetzt ist es leider so, dass die Rechner, von denen wir auf die VPN zugreifen können die Adresse x.x.x.100 hätte somit im /28er Netz des Kunden nicht inbegriffen ist. Da müsste ich jetzt die IP-Adressen vor dem Eintritt in den Tunnel so anpassen, dass diese in dem konfigurierten /28er Netz sind. Diese Option habe ich in der GUI der WatchGuard Firebox nicht gefunden, lediglich 1:1-NAT und DNAT was mich nicht weiterbringt.
Daher war meine Frage, ob es noch weitere Einstellungen dazu gibt. WatchGuard selber verweist beim Begriff maskieren nur auf die 1:1-NAT und DNAT.
Gruß
Watchguard hat da Recht. Geht nur mit SNAT kombiniert mit DNAT. Andere Optionen gibt es in dem Zusammenhang nicht.
Grundübel ist deine etwas naive Auswahl (..123..) der lokalen LAN Segment Netzwerkadresse. Wenn man in einem so breit genutzten VPN Umfeld arbeitet ist das eine etwas dillettantische IP Adressplanung für die du jetzt bestraft wirst.
Siehe zu dem Thema auch HIER.
Grundübel ist deine etwas naive Auswahl (..123..) der lokalen LAN Segment Netzwerkadresse. Wenn man in einem so breit genutzten VPN Umfeld arbeitet ist das eine etwas dillettantische IP Adressplanung für die du jetzt bestraft wirst.
Siehe zu dem Thema auch HIER.
Wenns das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!