ASA Site-to-Site VPN with NAT

[hegl 10]

Ich verzweifele gerade an einer VPN-Verbindung zu einem Kunden. Aktuell existiert bereits ein produktives VPN zu diesem, nun soll/muss aufgrund Netzwerkänderungen beim Kunden parallel ein zweites VPN in Betrieb genommen werden. Der Aufbau sieht von unserer Seite folgendermaßen aus:

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 1 Firma B --- Remote LAN (172.10.x.x)

So funktioniert´s bisher einwandfrei. Nun soll zu einem anderen Peer mit einem anderen Remote LAN unter Verwendung der gleichen NAT-Range das zweite VPN aufgebaut werden

LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 2 Firma B --- Remote LAN (172.20.x.x)

Leider baut sich aber der Tunnel nicht auf. Ich sehe noch die Meldung "IKE Initiator: New Phase 1, Intf inside, IKE Peer .....", aber dann nichts mehr.
Hat jemand eine Idee? Ich habe beide configs verglichen und die sind absolut ok. Kann es sein, dass die ASA hier mit dem NAT zu 2 unterschiedlichen Netzen ein Problem hat?

 

bearbeitet 12. April 2017 von hegl

[Otaku19 33]

wenn ich das richtig lesen, siehst du ja von dem NAT nichts ? Also du hast die SA:

 

172.10.0.0/16 -10.10.10.0/24 Tunnel alt

172.20.0.0/16-10.10.10.0/24 Tunnel neu

 

?

[hegl 10]

Verstehe Deine Frage nicht :(

Ich natte unser 192-er Netz auf 10.10.10.0 und komme nur mit diesen IP´s beim Partner ins Netz 172.10.x.x
Das heißt, bei Paketen aus unserem Netz zu 172.10.x.x wird der Tunnel aufgebaut und unsere internen Adressen auf 10.10.10.0/24 genattet.

Beim neuen Tunnel wird analog verfahren: Bei Paketen zu 172.20.x.x soll ein weiterer Tunnel aufgebaut und unsere internen Adressen ebenfalls auf 10.10.10.0/24 genattet werden (weil nur diese im Netz beim Partner rein dürfen).
 

bearbeitet 18. April 2017 von hegl

[Reingucker 3]

Routing für das 172.20.x.x vorhanden?

[magheinz 110]

Was wird denn als Peeringaddresse angezeigt in der Meldung? Ist das denn die richtige ip?