doppeltes NAT mit ASA

[DuneX 10]

Hallo,

 

hat vielleicht schon mal jemand eine ähnliche Umsetzung versucht/gemacht oder eine bessere Idee für mein Problem.

 

Mein Problem besteht darin das es eine Kunden VPN geben soll wo es zu doppelten IP-Adressen/Netzen kommt.

Als Vorgabe vom Kunde hab ich eine IP und ein Gateway für NAT bekommen.

Ich möchte nun gern eine NAT 1:1 (zB Kunde 10.x.x.x auf der ASA für uns 172.x.x.x) Übersetzung machen und dann in das Kundennetz rein NATen.

 

Was haltet Ihr von dieser Idee

 

Vielen Dank

 

Grüße

Dune

[Otaku19 33]

geht mit statics recht einfach, allerdings darfs dann natürlich auch weiterhin einen host im "realen" Netz nur einmal geben. eben dann je nachdem static (outisde,inside) oder eben static (inside,outside). Am einfachsten tut man sich natürlich wenn man das "transfernetz" gleich gross dimensioniert wie die beiden Netze die miteinander sprechen müssen und man zB das letzte Oktet immer gleich belässt

[DuneX 10]

Hi,

 

ich dachte an folgendes Beispiel:

 

Kunde Wir

 

10.10.1.5 10.10.1.5

Client Client

 

Umsetzung

auf der ASA GW für Transfernetz ins Kundennetz zB 192.168.1.1

auf der ASA dann ne 1:1 Übersetzung in ein weiteres Transfernetz zb 192.168.x.x oder 172.16.x.x. Damit mein ich das auf der ASA für die Kunden IP 10.10.1.5 zb die 172.16.1.5 eingestellt ist und wir von der 10.10.1.5 (wir) nur mit der 172.16.1.5 arbeiten.

 

Grüße

Dune

[Otaku19 33]

wenn ich das jetzt richtig verstehe, dann muss auch auf der anderen Seite genattet werden,nur auf einer Box wird das nix

[DuneX 10]

hallo,

 

es muss ins Kundennetz genatet werden und es sollte ein nat auf IP gemacht werden.

 

Damit meine ich

 

Wir routen auf eine 1:1 genatete IP (bzw Netz) zb 10.x.x.x (in KD Netz) soll auf der einen ASA als 172.x.x.x angesprochen werden von uns aus - weiterhin muss die ASA beim Kunden noch in das Kundennetz rein naten über eine IP (Transfernetz).

[Otaku19 33]

 

zeichnen, konfigbeispiel machen.so wird das irgendwie nix

[blackbox 10]

@Otaku19 : GRINS - habe doch echt ne Minute gebraucht um zu verstehen was du mit dem Bild sagen willst.... !!!

[sessi 10]

Hi DuneX

 

Kein Prob, hab solche Dinger in Betrieb.

 

Du kannst:

 

1,

LOCAL-NET to LOCAL-NATNET to TRANS-NET to REMOTE-NATNET to REMOTE-NET

 

10.1.1.x/24 to 192.168.100.x/24 to 10.255.255.x/24 to 192.168.101.x/24 to 10.1.1.x/24

 

2,

LOCAL-NET to LOCAL-NATNET to TRANS-NET to REMOTE-NET

 

10.1.1.x/24 to 192.168.100.x/24 to 10.255.255.x/24 to 10.1.1.x/24

 

 

Der Unterschied besteht darin dass du im ersten Fall auf beiden Seiten jeweils das NAT Netz der anderen Seite ansprichst. Im zweiten Fall geschiet dies aber nur in eine Richtung.

 

Wenn Du ein entsprechendes Konzept hast, oder einen Netzplan (kannst die Ranges ja austauschen...) Poste ihn bitte.

 

Gruss Sessi

[DuneX 10]

Grüß Euch

 

Danke für Eure Hilfe,

 

ich hab auf unserer Seite ein volles 10.x.x.x Netz in dem per OSPF geroutet wird,

der Kunde verwendet Teilenetze aus dem 10.0.0.0 Netz wodurch es zu Überschneidungen kommt.

 

Ich wollte gern in ein Transfernetz rein NATen. Das dann von uns aus gesehen

IP: 192.168.25.10 -> geht auf Kunden IP 10.10.10.10 übersetzt wird ,sodas wir, wenn wir, die 10er IP des Kunden erreichen wollen, die 192.168.25.10 ansprechen.

 

Eine weiteres Problem was ich hab ist das ich vom Kunden nur eine IP in seinem Netz und den next Hop-Router genannt bekommen hab.

 

Grüße

Dune

 

ps.: Otaku19 - nettes Bild :D