Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
hegl

ASA Site-to-Site VPN with NAT

Empfohlene Beiträge

Ich verzweifele gerade an einer VPN-Verbindung zu einem Kunden. Aktuell existiert bereits ein produktives VPN zu diesem, nun soll/muss aufgrund Netzwerkänderungen beim Kunden parallel ein zweites VPN in Betrieb genommen werden. Der Aufbau sieht von unserer Seite folgendermaßen aus:

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 1 Firma B --- Remote LAN (172.10.x.x)

So funktioniert´s bisher einwandfrei. Nun soll zu einem anderen Peer mit einem anderen Remote LAN unter Verwendung der gleichen NAT-Range das zweite VPN aufgebaut werden

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 2 Firma B --- Remote LAN (172.20.x.x)

Leider baut sich aber der Tunnel nicht auf. Ich sehe noch die Meldung "IKE Initiator: New Phase 1, Intf inside, IKE Peer .....", aber dann nichts mehr.
Hat jemand eine Idee? Ich habe beide configs verglichen und die sind absolut ok. Kann es sein, dass die ASA hier mit dem NAT zu 2 unterschiedlichen Netzen ein Problem hat?

 

bearbeitet von hegl

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

wenn ich das richtig lesen, siehst du ja von dem NAT nichts ? Also du hast die SA:

 

172.10.0.0/16 -10.10.10.0/24 Tunnel alt

172.20.0.0/16-10.10.10.0/24 Tunnel neu

 

?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Verstehe Deine Frage nicht :(

Ich natte unser 192-er Netz auf 10.10.10.0 und komme nur mit diesen IP´s beim Partner ins Netz 172.10.x.x
Das heißt, bei Paketen aus unserem Netz zu 172.10.x.x wird der Tunnel aufgebaut und unsere internen Adressen auf 10.10.10.0/24 genattet.

Beim neuen Tunnel wird analog verfahren: Bei Paketen zu 172.20.x.x soll ein weiterer Tunnel aufgebaut und unsere internen Adressen ebenfalls auf 10.10.10.0/24 genattet werden (weil nur diese im Netz beim Partner rein dürfen).
 

bearbeitet von hegl

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×