SNAT Routing

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
m.riedel
Beiträge: 1
Registriert: 07 Sep 2018, 16:33

SNAT Routing

Beitrag von m.riedel »

Hallo zusammen,

ich stehe seit einigen Tagen auf dem Schlauch und komme nicht weiter. Ich hoffe es kann mir hier geholfen werden.

Ich habe einen Kunden, der sich täglich in einer Webseite (https) von den Clients einloggt.
Die Webseite ist aus dem normalen Internet nicht erreichbar. Um Zugriff auf die Webseite zu bekommen, muss auf dem Arbeitsplatz ein feste Route eingetragen werden, die auf eine Box (Cisco-Router) zeigt, die sich im Netzwerk des Kunden befindet.
D.h. der Client geht nicht an das Default Gateway (Lancom) sondern an die Box und die Box macht dann Ihr eigenes VPN und routet die Anfrage selber weiter.
Das ganze funktioniert auch Problemlos.

Nun hat der Kunde einen zweiten Standort bekommen, der von einem anderen Partner betreut wird und die beide per VPN miteinander verbunden sind.
Von diesem Standort soll ebenfalls der Zugriff auf die Webseite erfolgen. Wie bekannt, muss dann auf den Arbeitsplätzen die Route gesetzt werden. Und genau hier ist die Problematik.
Die Box im Hauptstandort erlaubt nur anfragen aus dem lokalen Netzwerk. Anfragen aus anderem Netzwerk werden abgelehnt. Dies lässt sich auch nicht ändern (laut Hersteller/Betreiber der Box).

Ich muss also es so hinbekommen, dass die Anfragen aus der Niederlassung die in mein Netzwerk gehen bzw. an die Box mit einer IP-Adresse aus meinem Netzwerk gehen müssen. Der Partner aus der Niederlassung hat gemeint, dass wenn ich eine Sophos hätte,dies über eine SNAT Regel lösen müsste, aber ich habe einen Lancom und und weis nicht wie ich das hinbekommen soll.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: SNAT Routing

Beitrag von cpuprofi »

Hallo,

was Du benötigst ist eine spezielle Form von "SNAT", nämlich "SNAT mit Masquerading" und dieses kann (soweit ich weiß) das LCOS nicht.

Normales "SNAT" maskiert nicht, sondern würde die Absender-Adresse (sofern Du es über VPN laufen lassen würdest) übermitteln.

Grüße
Cpuprofi
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: SNAT Routing

Beitrag von backslash »

Hi m.riedel,

so direkt kann ein LANCOM das nicht.... Dzu mußt du schon auf die "andere" Seite des VPN-Tunnels und dort ein NAT einrichten - entweder als Extranet-VPN oder nur für den Zugriff auf den Server als policy based NAT über die Firewall:
Name: NAT
[x] Diese Regel ist für die Firewall aktiv
[ ] Diese Regel wird zur erzeugung von VPN-Netzbeziehungen verwendet
Aktion: übertragen,
[x] policy basiertes NAT: 1.2.3.4 // hier kommt die IP hin, hinter der geNATted werden soll
Quelle: alle Stationen im lokalen Netz
Ziel: IP des Servers
Diensten: alle Dienste
Damit der Traffik dann auch noch durch das VPN geht, brauchst du noch eine weitere Firewallregenl, damit die SAs angelegt werden können:
Name: ALLOW-NAT-VPN
[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wird zur erzeugung von VPN-Netzbeziehungen verwendet
Aktion: übertragen
Quelle: 1.2.3.4 // hier kommt wieder die IP hin, hinter der geNATted werden soll
Ziel: IP des Servers
Diensten: alle Dienste

Auf deiner "lokalen" Seite, also der auf der der Server steht, mußt du im LANCOM noch eine Route zu eben dieser IP-Adresse legen, die auf den VPN-Tunnel zeigt und - da es ja eine IP aud dem lokalen Netz ist - Proxy-ARP aktivieren...


Damit solltest du das hinbekommen...

Gruß
Backslash
Antworten