Zum Inhalt wechseln


Foto

NAT zwischen zwei VPN Endpunkten


  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 antis0cial

antis0cial

    Newbie

  • 3 Beiträge

 

Geschrieben 06. März 2017 - 10:49

Hallo zusammen,

 

ich hab mal eine Verständigungsfrage da ich damit noch nicht viel gearbeitet habe. 

 

Wir möchten zwei Firmen per VPN Tunnel verbinden.

 

Endpunkte auf beiden Seiten sind bekannt.

Konfiguration ist eingerichtet

 

Nun möchte ich der Gegenseite aber keinen unserer internen IP Adressen mitteilen sondern eine Adresse wie 192.168.51.2 z.B. 

 

Anfragen auf diese Adresse durch den Tunnel sollen dann auf den Richtigen Server mit der IP Adresse 172.16.7.1 z.B. geleitet werden. 

 

Meine Frage stellt sich nun welches NAT verwende ich am besten. SNAT / DNAT / Volles NAT 

 

Wir nutzen im Haus eine Sophos UTM Firewall und ich hänge etwas an der Konfiguration der NAT Regel. 

 

Ich habe bereits eine Konfiguration erstellt aber weiß nicht ob ich damit richtig liege. Siehe Anhang

 

Beschreibung Bild:

 

Datenverkehrsquelle: Endpunkt der Gegenseite

Datenverkehrsdienst spielt hier keine Rolle

Datenverkehrsziel: NAT Adresse des Servers (192.168.51.2) 

 

Ziel ändern in: Adresse des echten Zielservers (172.16.7.1) 

 

Lag ich mit meiner Konfiguration schon richtig oder grundlegend komplett falsch ? 

 

h7D8E9m.jpg


Bearbeitet von antis0cial, 06. März 2017 - 10:54.


#2 magheinz

magheinz

    Newbie

  • 1.318 Beiträge

 

Geschrieben 06. März 2017 - 10:52

Lass das mit dem NAT doch lieber sein. NAT ist immer nur eine Krücke.

Wenn du schin ein S2S-VPN aufbaust, dann route doch gleich richtig.

Spätestens mit IPv6 hat sich das mit dem NAT doch eh erledigt.



#3 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 06. März 2017 - 11:25

Hi,

 

ich würde ebenfalls vom NAT abraten. "Einfach" ein "Transfer-Netz" mit entsprechenden Firewall-Regeln und dann entsprechend routen.

 

Warum soll die Gegenseite denn eure internen IP Adressen nicht kennen?

Was soll denn später durch den Tunnel genutzt werden?

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#4 antis0cial

antis0cial

    Newbie

  • 3 Beiträge

 

Geschrieben 06. März 2017 - 14:06

Das mit dem Transfernetz habe ich schon länger im Auge bedarf aber etwas Vorbereitung. Ich möchte kurzfristig dies über das NAT realisieren, da alles andere zeitlich noch nicht zu realisieren ist.

Daher muss ich nochmals nach meiner Lösung mit dem NAT fragen 


Bearbeitet von antis0cial, 06. März 2017 - 14:06.


#5 magheinz

magheinz

    Newbie

  • 1.318 Beiträge

 

Geschrieben 06. März 2017 - 14:38

Soll nur Firma A auf Firma B zugreifen oder auch anders herum? Da du eh aug beiden Seiten konfigurieren musst ist das transfernetz mind. genauso schnell gebaut.

#6 antis0cial

antis0cial

    Newbie

  • 3 Beiträge

 

Geschrieben 06. März 2017 - 14:55

Firma B will Daten auf einem Rechner bei uns mittels FTP ablegen. Seitens Firma B ist laut deren Aussage kein SFTP möglich daher der Tunnel. Firma B hat bereits ein NAT in Ihr Netzwerk konfiguriert daher Bedarf es hier nur der Konfiguration auf unserer Seite. Beide Seiten verwenden den gleichen IP Bereich für Ihre lokalen Netze ... 



#7 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 06. März 2017 - 15:20

Eigentlich soll nur FirmaB Daten bei euch ablegen?

SSH zu euch ist nicht möglich? Aber ein Site2Site VPN in dieser eher ungünstigen Konstellation?

 

Vielleicht solltet Ihr euch nochmal zusammensetzen und evtl. doch FTP durch SSH tunneln oder eine Alternative zu FTP in Betracht ziehen (und auf VPN verzichten).


Bearbeitet von testperson, 06. März 2017 - 15:22.

Good morning, that's a nice TNETENNBA!

#8 magheinz

magheinz

    Newbie

  • 1.318 Beiträge

 

Geschrieben 06. März 2017 - 17:27

Firma B hat "ein NAT" konfiguriert oder NAT entsprechend den Anforderung durch das VPN? Entweder sind die Infos hier unvollständig oder ihr wisst nicht wirklich was ihr tut.

#9 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 07. März 2017 - 08:16

Also ich sehe das komplett anders :) es spricht nichts gegen NAT. Aber auch nur wenn:

man weiß was man da macht

Protokolle verwendet werden die auch über NAT funktionieren, es gibt zb durchaus Probleme wenn vielleicht die Source IP im Paket nicht mit einer Information im Applikationspayload übereinstimmt

 

Wir aktzeptieren zb keine privaten IP Adressen in der Encryption Domain, das liegt daran weil wir die selber fast alle benötigen und wir zig Partner haben, das würde schnell nicht mehr funktionieren weil wir die immer gleichne IPs zigfach präsent hätten. und wir haben auch Partner, die machen das ebenso.

und dahier auf beiden Enden anscheiend dummerweise gleiche Ranges verwendet werden, geht es nun mal nicht anders als auf beiden Seiten NAT zu nutzen, zu verwenden ist dann auf deiner Seite ein statisches NAT für den FTP Server


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#10 magheinz

magheinz

    Newbie

  • 1.318 Beiträge

 

Geschrieben 07. März 2017 - 09:05

Natürlich kann man NAT machen, aber du schreibst ja selber das es da einige Dinge zu bedenken gibt.

 

Das Problem mit den gleichen Netzen bei beiden Firmen ist allerdings nicht von der Hand zu weisen. Wird Zeit für IPv6...

 

Wenn wir das jetzt hier mal weiter spinnen:

Firma-A = 172.16.7.0/24

Firma-B = 172.16.7.0/24

 

Firma-A soll den Server 192.168.20.2 im Netz der Firma-B erreichen. Sagen wir mal das soll unter der IP 192.168.51.2 geschehen.

Jetzt muss also bei Firma-A dafür gesorgt werden das die IPs 192.168.51.0/24 (mindestens 192.168.51.2 als host) über das VPN erreicht werden.

Das wird nicht funktionieren ohne auf beiden Seiten zu konfigurieren. Bei Firma-B muss dann noch die Adresse umgesetzt werden.

Ich denke die Konfig von oben müsste passen, aber was fehlt ist das routing auf der Gegenseite.



#11 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 09. März 2017 - 12:18

bei tunneln sind immer beide Parteien gefordert :)


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM