Hallo,
ich versuche herauszufinden, ob und wie man in einem VPN zwischen zwei LANCOM 1821+ ein NAT konfigurieren kann.
Mein Testsetup habe ich im Anhang unten skizziert. In der Zentrale gibt es einen DSL-Anschluss und eine Standleitung. Dahinter hängt ein Firewall/Proxy/VPN-Gateway, dahinter das interne Netz. Die Firewall hat eine öffentliche IP in Richtung Standleitungs-Router und eine 192er Adresse in Richtung LANCOM bzw. DSL.
Nun sollen zwei VPNs gebaut werden:
1) Zwischen 192.168.2.0/24 und 10.0.0.0/24 läuft direkt auf der Firewall auf
2) Zwischen 192.168.2.0/24 und 192.168.1.0/24
Über #2 soll jeglicher Web-Traffic laufen, sowohl für die Zentrale als auch die Aussenstellen. Die Ausstenstellen kriegen keinen direkten Zugriff auf das Internet, sondern müssen den Proxy (192.168.1.2) in der Zentrale benutzen.
Die VPNs an sich laufen, sowohl auf Weg #1 als auch #2 sind die internen Adressen des jeweiligen VPN-Gateways pingbar.
Das Problem:
Wenn die Anfrage aus dem Netz 192.168.2.0 an den Proxy über die #1 reinkommt, schickt die Firewall die Antwort über #2 wieder raus, weil seine Routen dahin zeigen. Damit ist der Proxy dann aber nicht nutzbar. Deshalb würde ich nun gerne auf dem LANCOM Zentrale ein NAT einrichten, was die Anfragen aus 192.168.2.0 übersetzt auf seine eigene interne Adresse (192.168.1.1). Dann sollten die Anfragen mE mit dieser IP beim Proxy ankommen und auch routing-mässig richtig beantwortet werden.
Ich habe schon Maskierung und N:N NAT ausprobiert, aber es hatte nicht das gewünschte Ergebnis.
Kann mir jmd sagen, ob dies mit LANCOMs überhaupt möglich ist und wenn ja, was man dazu tun muss.
Vielen Dank im Voraus
Norman
NAT im VPN?
Moderator: Lancom-Systems Moderatoren
NAT im VPN?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi folz
In der Zentrale änderst du die VPN-Route so ab, daß sie nicht mehr auf das Filalnetz verweist, sondern auf die Extranet-Adresse.
Du kannst auch mit N:N-NAT arbeiten. Aber auch das muß auf der Filialseite geschehen. Hier kannst du das Filialnetz pper N:N-NAT für die VPN-Verbindung in ein anderes Netz ummappen. In der Zentrale mußt du dann nur noch die VPN-Route wiederum entsprechend dem gemappten Netz anpassen.
In beiden Fällen (Maskierung oder N:N-NAT) ist auch auf der Firewall eine passende Route zu setzen.
Gruß
Backslash
In der Form wirst du das nicht hinbekommen, zumindest nicht auf der Zentralseite.Deshalb würde ich nun gerne auf dem LANCOM Zentrale ein NAT einrichten, was die Anfragen aus 192.168.2.0 übersetzt auf seine eigene interne Adresse (192.168.1.1).
Wenn dir auf dem Proxy egal ist, von welcher IP-Adresse die Anfragen kommen, dann kannst du in der Filiale eine Maskierung aufsetzen, indem du in der VPN-Verbindungs-Liste für die Gegenstelle eine Extranet-Adresse einträgst. In diesem Fall wird das ganze Netz der Filiale hinter dieser Adresse maskiert.Ich habe schon Maskierung und N:N NAT ausprobiert, aber es hatte nicht das gewünschte Ergebnis.
In der Zentrale änderst du die VPN-Route so ab, daß sie nicht mehr auf das Filalnetz verweist, sondern auf die Extranet-Adresse.
Du kannst auch mit N:N-NAT arbeiten. Aber auch das muß auf der Filialseite geschehen. Hier kannst du das Filialnetz pper N:N-NAT für die VPN-Verbindung in ein anderes Netz ummappen. In der Zentrale mußt du dann nur noch die VPN-Route wiederum entsprechend dem gemappten Netz anpassen.
In beiden Fällen (Maskierung oder N:N-NAT) ist auch auf der Firewall eine passende Route zu setzen.
Gruß
Backslash
