Netzwerk auf anderen IP-Adressbereich mappen

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
MadMonkey
Beiträge: 3
Registriert: 12 Feb 2020, 19:42

Netzwerk auf anderen IP-Adressbereich mappen

Beitrag von MadMonkey »

Hallo Forum,

ich brauche eure Hilfe. Wir haben einen LANCOM 1781EF+ und wollen ein Netzwerk auf einen anderen IP-Adressbereich mappen.

Ausgangslage: Unser Netzwerk hat folgende IP-Adressen 10.20.0.0/16. Wir haben ein Site-to-Site VPN zu einem anderen Netzwerk mit der Adresse 10.10.0.0/16 aktiv. Das funktioniert auch hervorragend und wir können IPs aus dem anderen Netzwerk erreichen.

Nun haben wir die Anforderung, dass wir auf den Bereich 10.20.50.0/24 im fremden Netzwerk auch über unsere mobilen VPN-Clients zugreifen wollen. Von den VPN-Clients wird immer nur der Verkehr nach 10.10.0.0/16 über den Tunnel in unser Netzwerk gesendet. Dies sollte auch vorerst nicht geändert werden.

Jetzt war die Idee, dass wir das fremde Netzwerk 10.20.50.0/24 bei uns unter dem Bereich 10.10.50.0/24 bekannt machen. Damit können wir den Verkehr über den Tunnel vom Client in unser Netzwerk leiten. Auf unserer Firewall müsste dann das Netzwerk 10.10.50.0/24 wieder in das ursprüngliche Netzwerk 10.20.50.0/24 umgeschlüsselt werden.

Das folgende Bild soll das Vorhaben etwas verdeutlichen:
https://paste.pics/de750877ca871f539147d8ef095821cc

Mit dem N:N-Mapping habe ich das leider nicht hinbekommen. Ich kenne noch das Policy-Based-NAT in der Firewall. Wäre das eine Option? Ist das überhaupt möglich, was wir da vorhaben?

Ich weiß, am einfachsten wäre es, einfach das zusätzliche Netz über den Client zu tunneln. Dies ist aber aus verschiedensten Gründen aktuell nicht gewünscht und daher keine Option.

Vielen Dank und viele Grüße
Mad Monkey
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Netzwerk auf anderen IP-Adressbereich mappen

Beitrag von backslash »

Hi MadMonkey,
Mit dem N:N-Mapping habe ich das leider nicht hinbekommen.
das Problem bei "gleichnamigen" Netzen auf beiden Seiten ist, daß du auf *beiden* Seiten die Netze ummappen mußt, d.h. auf deiner Deite dein 10.20.50.x-Netz in ein im ganzen Netzwerk eindeutiges Netz und auf der anderen Seite das dortige 10.20.50.x-Netz in ein *anderes* im ganzen Netzwerk eindeutiges Netz... d.h. du mußt auf beiden Seiten ein N:N-NAT einrichten. und natürlich die Routen zu den neuen eindeutigen Netzen...

Das ist auf einem Gerät nicht zu lösen... denn dazu bräuchtest du neben dem "abgeheden" N:N-NAT, das din Netz für die andere Seite ummapt noch ein "eingehendes", das das entfertne Netz für dich ummpapt. LANCOMs unterstützen aber nur das "abgeheden" N:N-NAT...
Ich kenne noch das Policy-Based-NAT in der Firewall. Wäre das eine Option?
nein, denn das wirkt ja - wie auch das N:N-NAT - nur "abgehend"...
Ist das überhaupt möglich, was wir da vorhaben?
siehe oben - auf beiden Seiten ein "abghehendes" N:N-NAT und die passenden Routen einrichten,

Gruß
Backslash
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Netzwerk auf anderen IP-Adressbereich mappen

Beitrag von ittk »

Habe es noch nie gemacht,

aber wie wuerde es bei diesem Beispiel aussehen, damit es funktioniert?

Standort A LAN: 10.180.0.0/16
Standort B: 192.168.1.0/24

Problem im Standort A wird bereits das 192.168.1.0/24 genutzt (ueber andere Wege). Waere es daher moeglich, nur auf Seite des Standorts B das Netzwerk 192.168.1.0/24 zu bspw. 192.168.166.0/24 mittels N:N Mapping fuer den VPN-Tunnel zum Standort A umzubiegen?

Sprich Standort A hat einen VPN-Tunnel

10.180.0.0/16 zu 192.168.166.0/24 mit passenden IPsec-SA Netzwerkbeziehunge (Route) via der Gegenstelle zu Standort B

Standort B hat einen VPN-Tunnel

Zu 10.180.0.0/16 mit Eintrag im N:N Mapping (setze 192.168.1.0/24 um zu 192.168.166.0/24) fuer diese VPN-Gegenstelle zum Standort A.

Vielen Dank

backslash hat geschrieben: 13 Feb 2020, 11:57 Hi MadMonkey,
Mit dem N:N-Mapping habe ich das leider nicht hinbekommen.
das Problem bei "gleichnamigen" Netzen auf beiden Seiten ist, daß du auf *beiden* Seiten die Netze ummappen mußt, d.h. auf deiner Deite dein 10.20.50.x-Netz in ein im ganzen Netzwerk eindeutiges Netz und auf der anderen Seite das dortige 10.20.50.x-Netz in ein *anderes* im ganzen Netzwerk eindeutiges Netz... d.h. du mußt auf beiden Seiten ein N:N-NAT einrichten. und natürlich die Routen zu den neuen eindeutigen Netzen...

Das ist auf einem Gerät nicht zu lösen... denn dazu bräuchtest du neben dem "abgeheden" N:N-NAT, das din Netz für die andere Seite ummapt noch ein "eingehendes", das das entfertne Netz für dich ummpapt. LANCOMs unterstützen aber nur das "abgeheden" N:N-NAT...
Ich kenne noch das Policy-Based-NAT in der Firewall. Wäre das eine Option?
nein, denn das wirkt ja - wie auch das N:N-NAT - nur "abgehend"...
Ist das überhaupt möglich, was wir da vorhaben?
siehe oben - auf beiden Seiten ein "abghehendes" N:N-NAT und die passenden Routen einrichten,

Gruß
Backslash
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Netzwerk auf anderen IP-Adressbereich mappen

Beitrag von backslash »

Hi ittk,
Waere es daher moeglich, nur auf Seite des Standorts B das Netzwerk 192.168.1.0/24 zu bspw. 192.168.166.0/24 mittels N:N Mapping fuer den VPN-Tunnel zum Standort A umzubiegen?
es kommt darauf an, ob aus dem 192.168.0.x-Netz in Standort A auf das 192.168.0.x-Netz in Standort B zugegriffen werden soll. Solange da kein Zugriff nötig ist, ist es kein Problem, denn dann gibt es ja keinen Konflikt.

Soll der Zugriff vom aus dem 192.168.0.x-Netz in Standort A auf das aus dem 192.168.0.x-Netz in Standort B aber möglich sein, dann ist es mit einem "einseitigen" N:N-NAT nicht getan, denn durch das "einseitige" N:N-NAT im Standort B sieht das Netz in Standort A zwar anders aus und du kannst auch in Standort A eine Route auf das 192.168.166.0/24 Netz legen und so tatsächlich Pakete von A nach B schicken - ABER: Die Rückrichtung ist immer noch verwehrt, weil die Pakete die am Standort B ankommen ja immer noch eine Absenderadresse aus dem 192.168.1.0/24 Netz haben... somit sind (nach dem NAT an Standort B) Quell- und Zieladresse beide aus dem 192.168.1.0/24 Netz...

Genau deshalb mußt du auch im Standort A das Netz ummappen - z.B. auf 192.168.199.0/24 - und im Standort B eine Route zum Netz 192.168.199.0/24 mit Ziel Standort A anlegen...

erst dann kannst du vom Standort A über 192.168.166.0/24 auf das Netz 192.168.1.0/24 des Standort B zugreifen
bzw. umgekehrt vom Standort B über 192.168.199.0/24 auf das Netz 192.168.1.0/24 des Standort A zugreifen


Gruß
Backslash
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Netzwerk auf anderen IP-Adressbereich mappen

Beitrag von ittk »

Hi backslash ,

danke fuer die Antwort.

backslash hat geschrieben: 13 Feb 2020, 19:18 Hi ittk,
Waere es daher moeglich, nur auf Seite des Standorts B das Netzwerk 192.168.1.0/24 zu bspw. 192.168.166.0/24 mittels N:N Mapping fuer den VPN-Tunnel zum Standort A umzubiegen?
es kommt darauf an, ob aus dem 192.168.0.x-Netz in Standort A auf das 192.168.0.x-Netz in Standort B zugegriffen werden soll. Solange da kein Zugriff nötig ist, ist es kein Problem, denn dann gibt es ja keinen Konflikt.
In diesem Fall muss nur der Standort A auf das 192.168.1.0/24 Netzwerk, was ueber eine gaenzlich anderen Weg (MPLS) im Zugriff ist weiterhin zugreifen koennen. Allle anderen Standorte (alles per MPLS) hinter dem Standort A (vielmehr die auf Standort A zugreifen) benoetigen jedoch KEINEN Zugriff auf den Standort B mit 192.168.1.0.0/24 Netz was ja bspw auf. 192.168.166.0/24 umgemappt werden soll. Es soll jediglich der Adresskonflikt (Standort A muss weiterhin auf das andersweitig bereitgestellte 192.168.1.0/24 Netz zugreifen koennen), beim wechselseitigen Zugriff zwischen Standort A (mit dem IP-Subnet 10.180.0.0/16) und Standort B (192.168.1.0/24 umgemappt auf 192.168.166.0/24) geloest werden. Daher war das Gedankenspiel, dass dann lediglich eine N:N Mapping Adressumsetzung auf der Seite des Standortes B vom 192.168.1.0/24 auf bspw. 192.168.166.0/24 notwendig ist.

Wo wie ich Dich verstanden habe, stellt dies also technisch und funktional kein Problem dar? Korrekt?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Netzwerk auf anderen IP-Adressbereich mappen

Beitrag von backslash »

Hi ittk
Wo wie ich Dich verstanden habe, stellt dies also technisch und funktional kein Problem dar? Korrekt?
korrekt - in deinem Fall muß nur im Standort B das Netz umgemappt werden...

Gruß
Backslash
Antworten