Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Site2Site NAT auf andere IP

Mitglied: Bytedreher

Bytedreher (Level 1) - Jetzt verbinden

31.03.2020, aktualisiert 12:46 Uhr, 361 Aufrufe, 10 Kommentare

Moin zusammen,

wir haben folgende Situation, ein Lieferant hat eine IKEv2 Site2Site Verbindung zu uns.
Der Lieferant möchte aber mit einem unserer Server über eine andere IP kommunizieren, als die, die unser Server hat. Es sollen also nicht einfach beide Netze miteinander vernetzt werden.

Unser Server hat die 192.168.10.1

Der Lieferant möchte aber, bei sich die IP: 192.168.50.99 ansprechen und durch den VPN Tunnel soll diese IP aufgelöst werden und auf die unseres Server verweisen: 192.168.10.1

Sprich, er pingt die 192.168.50.99 an und seine Anfrage landet bei unserem Server auf der 192.168.10.1

Grund dafür, unser Lieferant kann die IP unseres Netzes nicht nutzen, da es bei denen schon anderweitig vergeben ist.

Wir haben eine Whatchguard Firewall und ich habe jetzt schon in den P2 Settings mit DNAT und 1:1 Nat rumgespielt, aber leider komme ich nicht zu dem gewünschten Ergebnis.
Über 1:1 NAT kommt gar kein Tunnel Aufbau zu Stande, über DNAT kommt das Paket nicht an.

Firewall Einstellungen würde ich sagen stimmen soweit, zumindest wird jeglicher VPN Traffic zugelassen.

Würde mich über ein wenig Input freuen.

So sieht es bei uns aus:
1 - Klicke auf das Bild, um es zu vergrößern


Viele Grüße
Mitglied: chgorges
31.03.2020 um 12:52 Uhr
Zitat von Bytedreher:

Moin zusammen,
Hi,
wir haben folgende Situation, ein Lieferant hat eine IKEv2 Site2Site Verbindung zu uns.
Der Lieferant möchte aber mit einem unserer Server über eine andere IP kommunizieren, als die, die unser Server hat. Es sollen also nicht einfach beide Netze miteinander vernetzt werden.

Unser Server hat die 192.168.10.1

Der Lieferant möchte aber, bei sich die IP: 192.168.50.99

Das Bild passt hinten und vorne nicht zu deiner Beschreibung, bitte nochmal prüfen.

Ansonsten gibt man in Phase 2 eigentlich nur das Remote-Subnet an, auf der Gegenseite ebenso, dann steht die Verbindung...
Bitte warten ..
Mitglied: Bytedreher
31.03.2020 um 13:01 Uhr
Was stimmt an meinem Bild nicht?

Mein lokales Netz ist eigentlich 192.168.10.0/24

Der Lieferant möchte aber, bei sich 192.168.50.99/32 ansprechen.
Er tut also so, als wäre 192.168.50.99 mein lokales Netz.

Da es das aber nicht ist, brauche ich eine Übersetzung von 192.168.50.99, die mein Lieferant nutzt, auf meinen Server auf die 192.168.10.1
Bitte warten ..
Mitglied: aqui
31.03.2020, aktualisiert um 13:27 Uhr
Der Lieferant möchte aber, bei sich 192.168.50.99/32 ansprechen. Er tut also so, als wäre 192.168.50.99 mein lokales Netz.
Das ist aber auch (vermutlich) dein Denkfehler...?!
Die Frage ist WO das 1:1 NAT gemacht wird ? Auf der Seite des Lieferanten oder bei dir ? Das ist unklar...
Wenn der Lieferant das macht landet ja schon eine .50er IP im Tunnel. Wenn du ist eine 10er IP im Tunnel. Die P2s müssen das dann sowohl auf seiner Seite als auch bei dir zwingend berücksichtigen !
Passiert das NAT auf deiner Seite muss der Lieferant und auch du 2mal P2s eintragen für das 10er und 50er Netz.
Das NAT passiert dann bei dir.
In sofern hilft der Screenshot in der Tat recht wenig, denn man hat keinerlei Infos wer nun wo das NAT macht.
Zusätzlich ist essentiell zu wissen welcher Prozess zuerst von den beteiligten Routern/Firewall Hardwares auf Lieferant und lokaler Seite abgearbeitet wird. Erst NAT und dann VPN Encapsulation oder umgedreht ?
Das hat einen entscheidenden Einfluss auf die Konfig. Auch ob die HW generell NAT in Tunnel Interfaces supportet.
Gerade Letzteres wird vermutlich bei IPsec und dem (geraten) bei dir verwendeten Tunnel Mode auf Allerwelts Firewalls nicht der Fall sein.
Du müsstest hier besser im Transparent Mode arbeiten und am besten dann einen GRE Tunnel etablieren wie es z.B. HIER beschrieben ist.
GRE Tunnel Interfaces supporten exakt die gleichen Funktionen wie normale Routing Interfaces inkl. natürlich NAT.
Ohne das du die Hardware Features hier also wasserdicht klärst (ggf. Hersteller oder Service Partner) bleibt das eine Forschungsbaustelle !
Es ist dann erheblich einfacher für 5 Euro eine 2te Netzwerk Karte in den Server zu stecken, dem eine .50er IP zu vergeben und das Netz mit über den IPsec Tunnel zu routen. Spart Zeit und befreit dich vom Experimentieren am lebenden Objekt.
Zum Grundproblem einer nicht besonders intelligenten VPN IP Adressierung wollen wir jetzt mal lieber nichts sagen. Dazu solltest du das_hier besser lesen und verstehen. Das ist das eigentliche Problem. Wäre das richtig gelöst hätte es diesen Thread gar nicht erst gegeben !
Bitte warten ..
Mitglied: Bytedreher
31.03.2020, aktualisiert um 13:56 Uhr
Ok, ich versuche es noch einmal anders zu formulieren:

Unser Netz: 192.168.10.0/24
Fremdnetz: 192.168.199.0/?

Unser Server: 192.168.10.1

Der VPN Tunnel ist mit den IPs wie in dem Screenshot verbunden.
Also nicht die kompletten Netze, sondern lediglich diese zwei IPs

Nun möchte der Lieferant einen Ping auf die 192.168.50.99 schicken und dieses Datenpaket soll dann an die 192.168.10.1 durch unsere FW übersetz werden.

NAT passiert nur auf unsere Seite.

Ich stelle mir das also so vor, liebe Firewal, alles, was durch den VPN Tunnel an die 192.168.50.99 geht, bitte schicke dieses, an die 192.168.10.1
Und ich fand, dass was ich dort in P2 einstellen kann, sieht soweit schon ganz gut aus, aber irgendwie will das nicht...
Bitte warten ..
Mitglied: aqui
31.03.2020 um 14:19 Uhr
Hat der Lieferant die entsprechenden korrespondierenden P2s konfiguriert ? Source: .199.20 Destination: .50.99 und kommt der Tunnel mit diesen P2s hoch ?
Bitte warten ..
Mitglied: Bytedreher
31.03.2020, aktualisiert um 14:27 Uhr
Das weiß ich leider gerade nicht, kläre ich aber.
Ich gehe aber davon aus, denn der Tunnel kommt ja hoch.

Im Log sehe ich auch, dass der Ping in den Tunnel reingeht

Log meiner Firewall:
Allow 192.168.199.20 192.168.50.99 icmp VPN01 0-WAN Allowed 84 63 (BOVPN-Allow.in-00) proc_id="firewall" rc="100" msg_id="3000-0148" src_ip_nat="192.168.10.1"

Sind denn meine P2s soweit korrekt, so wie ich mir das denke?
Bitte warten ..
Mitglied: aqui
31.03.2020, aktualisiert um 14:32 Uhr
Das weiß ich leider gerade nicht, kläre ich aber.
Vertrauen ist gut Kontrolle ist besser !
Sind denn meine P2s soweit korrekt, so wie ich mir das denke?
Was deine Seite anbetrifft ja ! Genauso wichtig ist aber auch die des Gegenübers. Bei unterschiedlichen P2s kommt der Tunnel nicht hoch.
Bitte warten ..
Mitglied: Bytedreher
31.03.2020, aktualisiert um 14:39 Uhr
Der Tunnel ist ja oben

Wie deutest Du das Log?
Müsste doch gehen, oder nicht?

Hier passiert ja das NAT: src_ip_nat="192.168.10.1"

Aber warum src?
Müsste das nicht eher Destination sein, oder was heißt src
Bitte warten ..
Mitglied: aqui
31.03.2020, aktualisiert um 19:12 Uhr
Na ja ist die Frage aus welcher Richtung es das NAT sieht. Du machst ja ein 1:1 NAT. Sprich aus Source: 192.168.10.1 wird nach dem NAT Source: 192.168.50.99
Und beim Rückweg wird aus Source: 192.168.50.99 dann wieder Source: 192.168.10.1
Alles eine Frage der Perspektive.
Aber die Log Message sagt das sich da irgendwas tut in puncto NAT.
Hilfreich wäre aber wenn du dir das am NAT Outbound Interface mal mit einem Wireshark ansiehst ob das auch wirklich das tut was es soll. Oder mit der internen Packet Capture Funktion in der Firewall was die meisten ja auch haben und die Sache vereinfacht.
Bitte warten ..
Mitglied: Datax87
01.04.2020 um 10:58 Uhr
Hi, so ein Problem musste ich auch mal lösen.

Dabei sah das Ganze so aus:

LAN_SeiteA = 192.168.10.0/24
LAN_SeiteB = 192.168.20.0/24

Seite A wollte nicht das 192.168.20.0/24 ansprechen,
um mit dem LAN_SeiteB zu kommunizieren (weil dieses ebenfalls auf SeiteA in Benutzung war),
sondern eben ein anderes Netz.

Da habe ich dann als Transfer-Netz für den IPsec-Tunnel einfach das 192.168.200.0/24er-Netz gewählt,
weil es noch nirgends in Verwendung war.

Auf Seite A wird dann in der Tunnel-Konfiguration das Netz der Gegenseite mit 192.168.200.0/24 angegeben
und auf Seite B wird das 192.168.200.0/24er-Netz entsprechend als lokales Netz angegeben.

Als nächstes braucht man dann noch auf Seite B insgesamt 2 1:1-NAT-Regeln.

Die 1. 1:1-NAT-Regel macht ein Destination-NAT für den Traffic mit Quelle = 192.168.10.0/24 und Ziel = 192.168.200.0/24
auf das "echte" Netz von SeiteB, nämlich auf das Netz 192.168.20.0/24.

Die 2. 1:1-NAT-Regel macht dann ein Source-NAT, wobei das Quell-Netz 192.168.20.0/24
auf das Netz 192.168.200.0/24 gesourcnattet wird, damit die Antwortpakete in Richtung 192.168.10.0/24
ebenfalls durch den Tunnel übertragen werden.

Siehe dazu auch folgende Seite, wo sowas ähnliches mit 2 "Sophos UTM"-Firewalls gemacht wurde:
https://community.sophos.com/kb/en-us/115579

In dem "Sophos UTM"-Szenario war es sogar so,
dass auf beiden Seiten das gleiche lokale Netz in Verwendung war,
weshalb auf beiden Seiten mit jeweils 2 1:1-NAT-Regeln gearbeitet werden musste.

Aber für das Verständnis und die praktische Umsetzung könnte es dir für deinen Fall ja weiterhelfen,
denke ich.
Bitte warten ..
Ähnliche Inhalte
Tipps & Tricks
NAT IP Adresse
Frage von 135401Tipps & Tricks10 Kommentare

ich bin leider opfer eines hackers geworden. mein mail account von der firma wurde gehackt. es wurden daten gestohlen ...

Router & Routing
Cisco887VAW -VPN NAT-Freigabe
Frage von Serial90Router & Routing11 Kommentare

Moin moin, ich habe mal wieder ein kleines Problem mit meinem 887. Und zwar: Ich habe einen VPN Tunneln ...

Router & Routing
Netgear FVS338 - NAT VPN
gelöst Frage von MultitaskRouter & Routing9 Kommentare

Hallo, Situation: Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar. ...

Router & Routing
Hilfe bei NAT bzw. VPN
gelöst Frage von Dr.CornwallisRouter & Routing17 Kommentare

Liebe Gemeinde, ich bräuchte dringend Hilfe, da ich nicht allzu fit in Netzwerktechnik bin und ich als temporärer Ersatz ...

Neue Wissensbeiträge
Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 7 StundenInformationsdienste1 Kommentar

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Viren und Trojaner

Trendmicro Treiber erkennt Treibertestumgebung und verhält sich dann anders

Information von DerWoWusste vor 9 StundenViren und Trojaner

Wenn das stimmen sollte, haben wir einen dem Abgasskandal ähnlichen Fall.

Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 1 TagWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Informationsdienste

Beendet: Timo Wölken und Julia Reda reden jetzt live auf Twitch über Uploadfilter, Rezo, Trump und Twitter

Information von Frank vor 1 TagInformationsdienste

Wer Interesse zum kommenden Uploadfilter, Rezo, Trump und Twitter hat, kann nun unter twitch.tv der Diskussion beitreten: 03.06.2020 ab ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Um welches Kabel handelt es sich?
gelöst Frage von Frodo.FFNetzwerkgrundlagen21 Kommentare

Hallo liebe Gemeinde, im neu erworbenen Haus, knapp 20 Jahre alt, sind im Heizungskeller als auch in den Räumen ...

Microsoft Office
Exchange Kennwort geändert
gelöst Frage von jensgebkenMicrosoft Office21 Kommentare

Hallo Gemeinschaft, habe mein Exchange Kennwort geändert - wo kann ich diese Kennwortänderung bei Outlook eintragen - bei Kontoeinstellungen ...

Hardware
Anschaffung neue USV
Frage von nachgefragtHardware20 Kommentare

Hallo Administratoren, für das Thema hätte ich gern Eure Meinungen. Wir haben bisher USV Einheiten (APC mit PowerChute) welche ...

Sicherheits-Tools
Passwortmanager DGSVO (Deutscher Anbieter - Hoster)
Frage von SoccerdeluxSicherheits-Tools19 Kommentare

Hallo zuammen, ich arbeite für meine Kunden auf unterschiedlichen Geräten / Notebooks. Ich ärgere mich jedesmal, das ich mein ...