doppeltes NAT mit ASA

[DuneX]

Hallo,

hat vielleicht schon mal jemand eine ähnliche Umsetzung versucht/gemacht oder eine bessere Idee für mein Problem.

Mein Problem besteht darin das es eine Kunden VPN geben soll wo es zu doppelten IP-Adressen/Netzen kommt.
Als Vorgabe vom Kunde hab ich eine IP und ein Gateway für NAT bekommen.
Ich möchte nun gern eine NAT 1:1 (zB Kunde 10.x.x.x auf der ASA für uns 172.x.x.x) Übersetzung machen und dann in das Kundennetz rein NATen.

Was haltet Ihr von dieser Idee

Vielen Dank

Grüße
Dune

[Otaku19]

geht mit statics recht einfach, allerdings darfs dann natürlich auch weiterhin einen host im "realen" Netz nur einmal geben. eben dann je nachdem static (outisde,inside) oder eben static (inside,outside). Am einfachsten tut man sich natürlich wenn man das "transfernetz" gleich gross dimensioniert wie die beiden Netze die miteinander sprechen müssen und man zB das letzte Oktet immer gleich belässt

[DuneX]

Hi,

ich dachte an folgendes Beispiel:

Kunde Wir

10.10.1.5 10.10.1.5
Client Client

Umsetzung
auf der ASA GW für Transfernetz ins Kundennetz zB 192.168.1.1
auf der ASA dann ne 1:1 Übersetzung in ein weiteres Transfernetz zb 192.168.x.x oder 172.16.x.x. Damit mein ich das auf der ASA für die Kunden IP 10.10.1.5 zb die 172.16.1.5 eingestellt ist und wir von der 10.10.1.5 (wir) nur mit der 172.16.1.5 arbeiten.

Grüße
Dune

[Otaku19]

wenn ich das jetzt richtig verstehe, dann muss auch auf der anderen Seite genattet werden,nur auf einer Box wird das nix

[DuneX]

hallo,

es muss ins Kundennetz genatet werden und es sollte ein nat auf IP gemacht werden.

Damit meine ich

Wir routen auf eine 1:1 genatete IP (bzw Netz) zb 10.x.x.x (in KD Netz) soll auf der einen ASA als 172.x.x.x angesprochen werden von uns aus - weiterhin muss die ASA beim Kunden noch in das Kundennetz rein naten über eine IP (Transfernetz).

[Otaku19]

zeichnen, konfigbeispiel machen.so wird das irgendwie nix

[blackbox]

@Otaku19 : GRINS - habe doch echt ne Minute gebraucht um zu verstehen was du mit dem Bild sagen willst.... !!!

[sessi]

Hi DuneX

Kein Prob, hab solche Dinger in Betrieb.

Du kannst:

1,
LOCAL-NET to LOCAL-NATNET to TRANS-NET to REMOTE-NATNET to REMOTE-NET

10.1.1.x/24 to 192.168.100.x/24 to 10.255.255.x/24 to 192.168.101.x/24 to 10.1.1.x/24

2,
LOCAL-NET to LOCAL-NATNET to TRANS-NET to REMOTE-NET

10.1.1.x/24 to 192.168.100.x/24 to 10.255.255.x/24 to 10.1.1.x/24


Der Unterschied besteht darin dass du im ersten Fall auf beiden Seiten jeweils das NAT Netz der anderen Seite ansprichst. Im zweiten Fall geschiet dies aber nur in eine Richtung.

Wenn Du ein entsprechendes Konzept hast, oder einen Netzplan (kannst die Ranges ja austauschen...) Poste ihn bitte.

Gruss Sessi

[DuneX]

Grüß Euch

Danke für Eure Hilfe,

ich hab auf unserer Seite ein volles 10.x.x.x Netz in dem per OSPF geroutet wird,
der Kunde verwendet Teilenetze aus dem 10.0.0.0 Netz wodurch es zu Überschneidungen kommt.

Ich wollte gern in ein Transfernetz rein NATen. Das dann von uns aus gesehen
IP: 192.168.25.10 -> geht auf Kunden IP 10.10.10.10 übersetzt wird ,sodas wir, wenn wir, die 10er IP des Kunden erreichen wollen, die 192.168.25.10 ansprechen.

Eine weiteres Problem was ich hab ist das ich vom Kunden nur eine IP in seinem Netz und den next Hop-Router genannt bekommen hab.

Grüße
Dune

ps.: Otaku19 - nettes Bild