Jump to content
Sign in to follow this  
hegl

ASA Site-to-Site VPN with NAT

Recommended Posts

Ich verzweifele gerade an einer VPN-Verbindung zu einem Kunden. Aktuell existiert bereits ein produktives VPN zu diesem, nun soll/muss aufgrund Netzwerkänderungen beim Kunden parallel ein zweites VPN in Betrieb genommen werden. Der Aufbau sieht von unserer Seite folgendermaßen aus:

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 1 Firma B --- Remote LAN (172.10.x.x)

So funktioniert´s bisher einwandfrei. Nun soll zu einem anderen Peer mit einem anderen Remote LAN unter Verwendung der gleichen NAT-Range das zweite VPN aufgebaut werden

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 2 Firma B --- Remote LAN (172.20.x.x)

Leider baut sich aber der Tunnel nicht auf. Ich sehe noch die Meldung "IKE Initiator: New Phase 1, Intf inside, IKE Peer .....", aber dann nichts mehr.
Hat jemand eine Idee? Ich habe beide configs verglichen und die sind absolut ok. Kann es sein, dass die ASA hier mit dem NAT zu 2 unterschiedlichen Netzen ein Problem hat?

 

Edited by hegl

Share this post


Link to post
Share on other sites

wenn ich das richtig lesen, siehst du ja von dem NAT nichts ? Also du hast die SA:

 

172.10.0.0/16 -10.10.10.0/24 Tunnel alt

172.20.0.0/16-10.10.10.0/24 Tunnel neu

 

?

Share this post


Link to post
Share on other sites

Verstehe Deine Frage nicht :(

Ich natte unser 192-er Netz auf 10.10.10.0 und komme nur mit diesen IP´s beim Partner ins Netz 172.10.x.x
Das heißt, bei Paketen aus unserem Netz zu 172.10.x.x wird der Tunnel aufgebaut und unsere internen Adressen auf 10.10.10.0/24 genattet.

Beim neuen Tunnel wird analog verfahren: Bei Paketen zu 172.20.x.x soll ein weiterer Tunnel aufgebaut und unsere internen Adressen ebenfalls auf 10.10.10.0/24 genattet werden (weil nur diese im Netz beim Partner rein dürfen).
 

Edited by hegl

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...