VPN Site-to-Site mit gleichen LANs

[tom12 10]

HAllo an alle!

 

Folgende Situation:

 

 

LAN1 -- 837er ---- INTERNET ----- 837er ---LAN2

 

 

zwischen LAN1 und LAN2 einen IPSEc Tunnel.

 

LAN1 und LAN2 haben beide dasselbe Netz 192.168.1.0/24.

 

HAt wer eine Konfig wie nun zu "natten" ist um zwischen den beiden NEtzen den Tunnel aufzubauen?

 

 

Danke Und Grüsse

Thomas

[Hr_Rossi 10]

Hi

 

Kurz und gut das wird nicht funktionieren !!

 

Du BRAUCHST 2 unterscheidliche Subnetze anders sehe ich keine chance !

 

Lass mich aber auch gerne belehren !!!

 

lg

rossi

[tom12 10]

Irgendwie sollte dies doch klappen...

 

Bin gerade beim testen.

 

 

http://www.cisco.com/en/US/customer/tech/tk648/tk361/technologies_configuration_example09186a0080093f30.shtml#configs

[lefg 276]

Hallo,

 

ich habe mal gelernt, zum Routen zwischen zwei Netzen werden dafür verschiedene Netzwerkadressen benötigt. Ich denke mal, das ist ein Grundsatz.

 

Ob in diesem Fall das Internet auch als Netz mitzählt, weiss ich nicht wirklich; ich nehme mal an, es zählt nicht.

 

Zwischen zwei Netzen gleicher Netzwerkadressen müsste eine Brücke eingerichtet werden. Ist das mit den Geräten möglich?

 

Ob man sowas mit dem Packet Tracer nachstellen kann?

[Wordo 11]

Mit Linux und nem gepatchten IPTables geht das, da kannste die IPSec-Hooks ordentliche NATen, aber ob Cisco das auch kann ... kein Plan. Ich denk mal das ist das IOS zu penibel als sich mit NAT-Regeln "austricksen" zu lassen

[Josh16 10]

Ich hatte auch mal das gleiche Problem, leider nicht unter Cisco, sondern unter CheckPoint.

Falls du trotzdem interesse an dieser Lösung hast einfach eine pm mit email Adresse schicken.

[grizzly999 11]

Mit Linux und nem gepatchten IPTables geht das, da kannste die IPSec-Hooks ordentliche NATen, aber ob Cisco das auch kann ... kein Plan. Ich denk mal das ist das IOS zu penibel als sich mit NAT-Regeln "austricksen" zu lassen

Und was soll Natten bringen? Mein Client will eine Adresse aus MEINEM Netz, die Adresse sucht er lokal. Da hilft kein NAT auf dem Router

[Wordo 11]

Es geht ja darum dass beide Clientnetze dieselben IP's haben, und sicherlich keiner von beiden sein Netzwerk aendern kann/will, also muessen die Clients halt andere IP's "ansteuern" und am Router werden die Adressen dann genattet. Sprich wenn beide x.x.1.x haben dann muss Netz A x.x.2.x ansteuern um zu B zu kommen und B muss x.x.3.x ansteuern um zu A zu kommen.

[s21it21 10]

Hallo!

 

So wie Wordo schon geschrieben hat, das geht (habe ich schon x mal gemacht). Man muss eine Art Transfernetz erzeugen. Dieses muss auf beiden Seiten geroutet werden (damit der Traffic ins VPN rein geht). Nachteil ist natürlich, dass man jeden Host/Server der durch das VPN erreichbar sein muss, natten muss und, dass genau diese IP-Adresse dafür im anderen Netz bekannt sein muss (neue DNS-Einträge etc.). Wie schon gesagt, es funktioniert. Auf der Checkpoint ist das vom natten her nicht so der Aufwand, bei der PIX muss man eben etwas mehr konfigurieren (kann verwirrend sein). Aber funktionieren tut das auf jeden Fall.

 

lg

Martin

[Wordo 11]

Gilt das fuer PIX oder Cisco IOS? Das waer ja schon mal nicht schlecht! Evtl. gibts ja dann bald mal ne "NETMAP" Funktion wo man nicht fuer jede einzelne IP ne Regel erstellen muss.

[lefg 276]

Es geht ja darum dass beide Clientnetze dieselben IP's haben, und sicherlich keiner von beiden sein Netzwerk aendern kann/will, also muessen die Clients halt andere IP's "ansteuern"

Hast du meine Anregung mit dem Bridging aufgenommen? Das Theme gab es neulich schon einmal.

[Wordo 11]

Ich weiss nicht ob du mit einer Bridge oder VLAN weiterkommst, da mit Sicherheit in beiden Netzen auch dieselben IP's vergeben sein werden. Sprich bei beiden hat der Server im LAN die IP .1 am Ende (z.B.). Und dann fangen die Probleme an :shock:

[Hr_Rossi 10]

ok

 

also nur zum vertsändnis würde dies dann so in etwa ausschauen:

 

 

Clientnetz -- Transfernetz -- internet --- Clientnetz

 

Ok

 

Site to Site wird von Transfer zu Clientnetz eingerichtet...

 

client zu Transfer wird geroutet...

 

Wenn so is dann würde dies funken ...

 

Lieg ich richtig ?

 

lg

rossi

[Wordo 11]

Clientnetz-A -- Transfernetz-A -- internet --Transfernetz-B -- Clientnetz-B

 

So muesste es aussehen, sprich 2 Transfernetze, C-A spricht T-A an um zu C-B zu kommen. Vice versa muss da halt auch eins sein (sieht halt sauberer aus)

[maho 10]

Hallo,

 

die Lösung ist, dass jede Seite nicht mit den realen IP's der anderen Seite spricht, sondern mit NAT-Adressen. Es wird also in beide Richtungen genattet.

 

Hier ein Link, wie das funktionieren dürfte:

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b07ed.shtml

 

Grüße, Maho