antis0cial 0 Geschrieben 6. März 2017 Melden Teilen Geschrieben 6. März 2017 (bearbeitet) Hallo zusammen, ich hab mal eine Verständigungsfrage da ich damit noch nicht viel gearbeitet habe. Wir möchten zwei Firmen per VPN Tunnel verbinden. Endpunkte auf beiden Seiten sind bekannt. Konfiguration ist eingerichtet Nun möchte ich der Gegenseite aber keinen unserer internen IP Adressen mitteilen sondern eine Adresse wie 192.168.51.2 z.B. Anfragen auf diese Adresse durch den Tunnel sollen dann auf den Richtigen Server mit der IP Adresse 172.16.7.1 z.B. geleitet werden. Meine Frage stellt sich nun welches NAT verwende ich am besten. SNAT / DNAT / Volles NAT Wir nutzen im Haus eine Sophos UTM Firewall und ich hänge etwas an der Konfiguration der NAT Regel. Ich habe bereits eine Konfiguration erstellt aber weiß nicht ob ich damit richtig liege. Siehe Anhang Beschreibung Bild: Datenverkehrsquelle: Endpunkt der Gegenseite Datenverkehrsdienst spielt hier keine Rolle Datenverkehrsziel: NAT Adresse des Servers (192.168.51.2) Ziel ändern in: Adresse des echten Zielservers (172.16.7.1) Lag ich mit meiner Konfiguration schon richtig oder grundlegend komplett falsch ? bearbeitet 6. März 2017 von antis0cial Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 6. März 2017 Melden Teilen Geschrieben 6. März 2017 Lass das mit dem NAT doch lieber sein. NAT ist immer nur eine Krücke. Wenn du schin ein S2S-VPN aufbaust, dann route doch gleich richtig. Spätestens mit IPv6 hat sich das mit dem NAT doch eh erledigt. Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 6. März 2017 Melden Teilen Geschrieben 6. März 2017 Hi, ich würde ebenfalls vom NAT abraten. "Einfach" ein "Transfer-Netz" mit entsprechenden Firewall-Regeln und dann entsprechend routen. Warum soll die Gegenseite denn eure internen IP Adressen nicht kennen? Was soll denn später durch den Tunnel genutzt werden? Gruß Jan Zitieren Link zu diesem Kommentar
antis0cial 0 Geschrieben 6. März 2017 Autor Melden Teilen Geschrieben 6. März 2017 (bearbeitet) Das mit dem Transfernetz habe ich schon länger im Auge bedarf aber etwas Vorbereitung. Ich möchte kurzfristig dies über das NAT realisieren, da alles andere zeitlich noch nicht zu realisieren ist. Daher muss ich nochmals nach meiner Lösung mit dem NAT fragen bearbeitet 6. März 2017 von antis0cial Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 6. März 2017 Melden Teilen Geschrieben 6. März 2017 Soll nur Firma A auf Firma B zugreifen oder auch anders herum? Da du eh aug beiden Seiten konfigurieren musst ist das transfernetz mind. genauso schnell gebaut. Zitieren Link zu diesem Kommentar
antis0cial 0 Geschrieben 6. März 2017 Autor Melden Teilen Geschrieben 6. März 2017 Firma B will Daten auf einem Rechner bei uns mittels FTP ablegen. Seitens Firma B ist laut deren Aussage kein SFTP möglich daher der Tunnel. Firma B hat bereits ein NAT in Ihr Netzwerk konfiguriert daher Bedarf es hier nur der Konfiguration auf unserer Seite. Beide Seiten verwenden den gleichen IP Bereich für Ihre lokalen Netze ... Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 6. März 2017 Melden Teilen Geschrieben 6. März 2017 (bearbeitet) Eigentlich soll nur FirmaB Daten bei euch ablegen? SSH zu euch ist nicht möglich? Aber ein Site2Site VPN in dieser eher ungünstigen Konstellation? Vielleicht solltet Ihr euch nochmal zusammensetzen und evtl. doch FTP durch SSH tunneln oder eine Alternative zu FTP in Betracht ziehen (und auf VPN verzichten). bearbeitet 6. März 2017 von testperson Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 6. März 2017 Melden Teilen Geschrieben 6. März 2017 Firma B hat "ein NAT" konfiguriert oder NAT entsprechend den Anforderung durch das VPN? Entweder sind die Infos hier unvollständig oder ihr wisst nicht wirklich was ihr tut. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. März 2017 Melden Teilen Geschrieben 7. März 2017 Also ich sehe das komplett anders :) es spricht nichts gegen NAT. Aber auch nur wenn: man weiß was man da macht Protokolle verwendet werden die auch über NAT funktionieren, es gibt zb durchaus Probleme wenn vielleicht die Source IP im Paket nicht mit einer Information im Applikationspayload übereinstimmt Wir aktzeptieren zb keine privaten IP Adressen in der Encryption Domain, das liegt daran weil wir die selber fast alle benötigen und wir zig Partner haben, das würde schnell nicht mehr funktionieren weil wir die immer gleichne IPs zigfach präsent hätten. und wir haben auch Partner, die machen das ebenso. und dahier auf beiden Enden anscheiend dummerweise gleiche Ranges verwendet werden, geht es nun mal nicht anders als auf beiden Seiten NAT zu nutzen, zu verwenden ist dann auf deiner Seite ein statisches NAT für den FTP Server Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 7. März 2017 Melden Teilen Geschrieben 7. März 2017 Natürlich kann man NAT machen, aber du schreibst ja selber das es da einige Dinge zu bedenken gibt. Das Problem mit den gleichen Netzen bei beiden Firmen ist allerdings nicht von der Hand zu weisen. Wird Zeit für IPv6... Wenn wir das jetzt hier mal weiter spinnen: Firma-A = 172.16.7.0/24 Firma-B = 172.16.7.0/24 Firma-A soll den Server 192.168.20.2 im Netz der Firma-B erreichen. Sagen wir mal das soll unter der IP 192.168.51.2 geschehen. Jetzt muss also bei Firma-A dafür gesorgt werden das die IPs 192.168.51.0/24 (mindestens 192.168.51.2 als host) über das VPN erreicht werden. Das wird nicht funktionieren ohne auf beiden Seiten zu konfigurieren. Bei Firma-B muss dann noch die Adresse umgesetzt werden. Ich denke die Konfig von oben müsste passen, aber was fehlt ist das routing auf der Gegenseite. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 9. März 2017 Melden Teilen Geschrieben 9. März 2017 bei tunneln sind immer beide Parteien gefordert :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.