Zum Inhalt wechseln


Foto

ASA Site-to-Site VPN with NAT


  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 12. April 2017 - 09:30

Ich verzweifele gerade an einer VPN-Verbindung zu einem Kunden. Aktuell existiert bereits ein produktives VPN zu diesem, nun soll/muss aufgrund Netzwerkänderungen beim Kunden parallel ein zweites VPN in Betrieb genommen werden. Der Aufbau sieht von unserer Seite folgendermaßen aus:

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 1 Firma B --- Remote LAN (172.10.x.x)

So funktioniert´s bisher einwandfrei. Nun soll zu einem anderen Peer mit einem anderen Remote LAN unter Verwendung der gleichen NAT-Range das zweite VPN aufgebaut werden

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 2 Firma B --- Remote LAN (172.20.x.x)

Leider baut sich aber der Tunnel nicht auf. Ich sehe noch die Meldung "IKE Initiator: New Phase 1, Intf inside, IKE Peer .....", aber dann nichts mehr.
Hat jemand eine Idee? Ich habe beide configs verglichen und die sind absolut ok. Kann es sein, dass die ASA hier mit dem NAT zu 2 unterschiedlichen Netzen ein Problem hat?

 


Bearbeitet von hegl, 12. April 2017 - 10:05.


#2 Otaku19

Otaku19

    Expert Member

  • 1.944 Beiträge

 

Geschrieben 13. April 2017 - 05:48

wenn ich das richtig lesen, siehst du ja von dem NAT nichts ? Also du hast die SA:

 

172.10.0.0/16 -10.10.10.0/24 Tunnel alt

172.20.0.0/16-10.10.10.0/24 Tunnel neu

 

?


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#3 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 18. April 2017 - 10:34

Verstehe Deine Frage nicht :(

Ich natte unser 192-er Netz auf 10.10.10.0 und komme nur mit diesen IP´s beim Partner ins Netz 172.10.x.x
Das heißt, bei Paketen aus unserem Netz zu 172.10.x.x wird der Tunnel aufgebaut und unsere internen Adressen auf 10.10.10.0/24 genattet.

Beim neuen Tunnel wird analog verfahren: Bei Paketen zu 172.20.x.x soll ein weiterer Tunnel aufgebaut und unsere internen Adressen ebenfalls auf 10.10.10.0/24 genattet werden (weil nur diese im Netz beim Partner rein dürfen).
 


Bearbeitet von hegl, 18. April 2017 - 10:35.


#4 Reingucker

Reingucker

    Senior Member

  • 396 Beiträge

 

Geschrieben 12. Mai 2017 - 16:12

Routing für das 172.20.x.x vorhanden?



#5 magheinz

magheinz

    Newbie

  • 1.300 Beiträge

 

Geschrieben 12. Mai 2017 - 17:30

Was wird denn als Peeringaddresse angezeigt in der Meldung? Ist das denn die richtige ip?