Jump to content

NAT zwischen zwei VPN Endpunkten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich hab mal eine Verständigungsfrage da ich damit noch nicht viel gearbeitet habe. 

 

Wir möchten zwei Firmen per VPN Tunnel verbinden.

 

Endpunkte auf beiden Seiten sind bekannt.

Konfiguration ist eingerichtet

 

Nun möchte ich der Gegenseite aber keinen unserer internen IP Adressen mitteilen sondern eine Adresse wie 192.168.51.2 z.B. 

 

Anfragen auf diese Adresse durch den Tunnel sollen dann auf den Richtigen Server mit der IP Adresse 172.16.7.1 z.B. geleitet werden. 

 

Meine Frage stellt sich nun welches NAT verwende ich am besten. SNAT / DNAT / Volles NAT 

 

Wir nutzen im Haus eine Sophos UTM Firewall und ich hänge etwas an der Konfiguration der NAT Regel. 

 

Ich habe bereits eine Konfiguration erstellt aber weiß nicht ob ich damit richtig liege. Siehe Anhang

 

Beschreibung Bild:

 

Datenverkehrsquelle: Endpunkt der Gegenseite

Datenverkehrsdienst spielt hier keine Rolle

Datenverkehrsziel: NAT Adresse des Servers (192.168.51.2) 

 

Ziel ändern in: Adresse des echten Zielservers (172.16.7.1) 

 

Lag ich mit meiner Konfiguration schon richtig oder grundlegend komplett falsch ? 

 

h7D8E9m.jpg

bearbeitet von antis0cial
Link zu diesem Kommentar

Eigentlich soll nur FirmaB Daten bei euch ablegen?

SSH zu euch ist nicht möglich? Aber ein Site2Site VPN in dieser eher ungünstigen Konstellation?

 

Vielleicht solltet Ihr euch nochmal zusammensetzen und evtl. doch FTP durch SSH tunneln oder eine Alternative zu FTP in Betracht ziehen (und auf VPN verzichten).

bearbeitet von testperson
Link zu diesem Kommentar

Also ich sehe das komplett anders :) es spricht nichts gegen NAT. Aber auch nur wenn:

man weiß was man da macht

Protokolle verwendet werden die auch über NAT funktionieren, es gibt zb durchaus Probleme wenn vielleicht die Source IP im Paket nicht mit einer Information im Applikationspayload übereinstimmt

 

Wir aktzeptieren zb keine privaten IP Adressen in der Encryption Domain, das liegt daran weil wir die selber fast alle benötigen und wir zig Partner haben, das würde schnell nicht mehr funktionieren weil wir die immer gleichne IPs zigfach präsent hätten. und wir haben auch Partner, die machen das ebenso.

und dahier auf beiden Enden anscheiend dummerweise gleiche Ranges verwendet werden, geht es nun mal nicht anders als auf beiden Seiten NAT zu nutzen, zu verwenden ist dann auf deiner Seite ein statisches NAT für den FTP Server

Link zu diesem Kommentar

Natürlich kann man NAT machen, aber du schreibst ja selber das es da einige Dinge zu bedenken gibt.

 

Das Problem mit den gleichen Netzen bei beiden Firmen ist allerdings nicht von der Hand zu weisen. Wird Zeit für IPv6...

 

Wenn wir das jetzt hier mal weiter spinnen:

Firma-A = 172.16.7.0/24

Firma-B = 172.16.7.0/24

 

Firma-A soll den Server 192.168.20.2 im Netz der Firma-B erreichen. Sagen wir mal das soll unter der IP 192.168.51.2 geschehen.

Jetzt muss also bei Firma-A dafür gesorgt werden das die IPs 192.168.51.0/24 (mindestens 192.168.51.2 als host) über das VPN erreicht werden.

Das wird nicht funktionieren ohne auf beiden Seiten zu konfigurieren. Bei Firma-B muss dann noch die Adresse umgesetzt werden.

Ich denke die Konfig von oben müsste passen, aber was fehlt ist das routing auf der Gegenseite.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...