tom12 10 Geschrieben 15. Februar 2006 Melden Geschrieben 15. Februar 2006 HAllo an alle! Folgende Situation: LAN1 -- 837er ---- INTERNET ----- 837er ---LAN2 zwischen LAN1 und LAN2 einen IPSEc Tunnel. LAN1 und LAN2 haben beide dasselbe Netz 192.168.1.0/24. HAt wer eine Konfig wie nun zu "natten" ist um zwischen den beiden NEtzen den Tunnel aufzubauen? Danke Und Grüsse Thomas Zitieren
Hr_Rossi 10 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Hi Kurz und gut das wird nicht funktionieren !! Du BRAUCHST 2 unterscheidliche Subnetze anders sehe ich keine chance ! Lass mich aber auch gerne belehren !!! lg rossi Zitieren
tom12 10 Geschrieben 16. Februar 2006 Autor Melden Geschrieben 16. Februar 2006 Irgendwie sollte dies doch klappen... Bin gerade beim testen. http://www.cisco.com/en/US/customer/tech/tk648/tk361/technologies_configuration_example09186a0080093f30.shtml#configs Zitieren
lefg 276 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Hallo, ich habe mal gelernt, zum Routen zwischen zwei Netzen werden dafür verschiedene Netzwerkadressen benötigt. Ich denke mal, das ist ein Grundsatz. Ob in diesem Fall das Internet auch als Netz mitzählt, weiss ich nicht wirklich; ich nehme mal an, es zählt nicht. Zwischen zwei Netzen gleicher Netzwerkadressen müsste eine Brücke eingerichtet werden. Ist das mit den Geräten möglich? Ob man sowas mit dem Packet Tracer nachstellen kann? Zitieren
Wordo 11 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Mit Linux und nem gepatchten IPTables geht das, da kannste die IPSec-Hooks ordentliche NATen, aber ob Cisco das auch kann ... kein Plan. Ich denk mal das ist das IOS zu penibel als sich mit NAT-Regeln "austricksen" zu lassen Zitieren
Josh16 10 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Ich hatte auch mal das gleiche Problem, leider nicht unter Cisco, sondern unter CheckPoint. Falls du trotzdem interesse an dieser Lösung hast einfach eine pm mit email Adresse schicken. Zitieren
grizzly999 11 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Mit Linux und nem gepatchten IPTables geht das, da kannste die IPSec-Hooks ordentliche NATen, aber ob Cisco das auch kann ... kein Plan. Ich denk mal das ist das IOS zu penibel als sich mit NAT-Regeln "austricksen" zu lassen Und was soll Natten bringen? Mein Client will eine Adresse aus MEINEM Netz, die Adresse sucht er lokal. Da hilft kein NAT auf dem Router Zitieren
Wordo 11 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Es geht ja darum dass beide Clientnetze dieselben IP's haben, und sicherlich keiner von beiden sein Netzwerk aendern kann/will, also muessen die Clients halt andere IP's "ansteuern" und am Router werden die Adressen dann genattet. Sprich wenn beide x.x.1.x haben dann muss Netz A x.x.2.x ansteuern um zu B zu kommen und B muss x.x.3.x ansteuern um zu A zu kommen. Zitieren
s21it21 10 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Hallo! So wie Wordo schon geschrieben hat, das geht (habe ich schon x mal gemacht). Man muss eine Art Transfernetz erzeugen. Dieses muss auf beiden Seiten geroutet werden (damit der Traffic ins VPN rein geht). Nachteil ist natürlich, dass man jeden Host/Server der durch das VPN erreichbar sein muss, natten muss und, dass genau diese IP-Adresse dafür im anderen Netz bekannt sein muss (neue DNS-Einträge etc.). Wie schon gesagt, es funktioniert. Auf der Checkpoint ist das vom natten her nicht so der Aufwand, bei der PIX muss man eben etwas mehr konfigurieren (kann verwirrend sein). Aber funktionieren tut das auf jeden Fall. lg Martin Zitieren
Wordo 11 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Gilt das fuer PIX oder Cisco IOS? Das waer ja schon mal nicht schlecht! Evtl. gibts ja dann bald mal ne "NETMAP" Funktion wo man nicht fuer jede einzelne IP ne Regel erstellen muss. Zitieren
lefg 276 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Es geht ja darum dass beide Clientnetze dieselben IP's haben, und sicherlich keiner von beiden sein Netzwerk aendern kann/will, also muessen die Clients halt andere IP's "ansteuern" Hast du meine Anregung mit dem Bridging aufgenommen? Das Theme gab es neulich schon einmal. Zitieren
Wordo 11 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Ich weiss nicht ob du mit einer Bridge oder VLAN weiterkommst, da mit Sicherheit in beiden Netzen auch dieselben IP's vergeben sein werden. Sprich bei beiden hat der Server im LAN die IP .1 am Ende (z.B.). Und dann fangen die Probleme an :shock: Zitieren
Hr_Rossi 10 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 ok also nur zum vertsändnis würde dies dann so in etwa ausschauen: Clientnetz -- Transfernetz -- internet --- Clientnetz Ok Site to Site wird von Transfer zu Clientnetz eingerichtet... client zu Transfer wird geroutet... Wenn so is dann würde dies funken ... Lieg ich richtig ? lg rossi Zitieren
Wordo 11 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Clientnetz-A -- Transfernetz-A -- internet --Transfernetz-B -- Clientnetz-B So muesste es aussehen, sprich 2 Transfernetze, C-A spricht T-A an um zu C-B zu kommen. Vice versa muss da halt auch eins sein (sieht halt sauberer aus) Zitieren
maho 10 Geschrieben 16. Februar 2006 Melden Geschrieben 16. Februar 2006 Hallo, die Lösung ist, dass jede Seite nicht mit den realen IP's der anderen Seite spricht, sondern mit NAT-Adressen. Es wird also in beide Richtungen genattet. Hier ein Link, wie das funktionieren dürfte: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b07ed.shtml Grüße, Maho Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.