Hallo,
folgendes Problem:
für eine größere Installation benötigt unser Systemhaus VPN Zugriff auf unsere Server.
Der Tunnel an sich läuft (Watchguard zu unserem 1781A) aber leider hat das Systemhaus einen Kunden der das gleiche Netz wie wir verwendet (10.1.0.0/20) also hat man mir gesagt soll ich auf meiner Seite NAT konfigurieren.
Ich habe zwei Stellen gefunden: N:M Mapping unter IP-Router und beim IPv4-Routing IP Maskrierung.
Die IP Maskierung habe ich für die Route zum Systemhaus mit "nur Intranet" aktiviert.
Und beim N:M Mapping habe ich die Gegenstelle zum Systemhaus mit
Quell IP 10.1.0.0
Maske 255.255.240.0
umgesetzte IP 10.100.0.0
eingestellt. 10.100.x.x weil das kein Kunde des Sytemhauses hat.
Leider klappt es nicht. Muss ich an einer weiteren Stelle noch etwas einstellen?
In der Firewall ist für alle drei Netze die Kommunikation untereinander komplett frei geschaltet.
[Solved] VPN und NAT Einrichtung
Moderator: Lancom-Systems Moderatoren
[Solved] VPN und NAT Einrichtung
Zuletzt geändert von Skeeve am 04 Dez 2013, 14:17, insgesamt 1-mal geändert.
Grüße aus dem Sauerland
Skeeve
Skeeve
Re: VPN und NAT Einrichtung
Hallo Skeeve,
Viele Grüße,
Jirka
Bitte umstellen auf "IP-Maskierung abgeschaltet".Skeeve hat geschrieben:Die IP Maskierung habe ich für die Route zum Systemhaus mit "nur Intranet" aktiviert.
Bei mir ist das ein N:N-Mapping...Skeeve hat geschrieben:Und beim N:M Mapping habe ich die Gegenstelle zum Systemhaus mit
Korrekt. Gegenstelle?Skeeve hat geschrieben:Quell IP 10.1.0.0
Maske 255.255.240.0
umgesetzte IP 10.100.0.0
eingestellt. 10.100.x.x weil das kein Kunde des Sytemhauses hat.
VPN-Verbindung neu aufbauen? VPN-Gegenseite korrekt konfiguriert?Skeeve hat geschrieben:Leider klappt es nicht. Muss ich an einer weiteren Stelle noch etwas einstellen?
Gibt es da eine Deny-All-Strategie? (Ansonsten wäre das nicht erforderlich.)Skeeve hat geschrieben:In der Firewall ist für alle drei Netze die Kommunikation untereinander komplett frei geschaltet.
Viele Grüße,
Jirka
Re: VPN und NAT Einrichtung
Hi Jirka,
ich habe die Maskierung wieder abgeschaltet.
Aus irgendeinem Grund kann der Mitarbeiter des Systemhauses nur eine IP bei uns anpingen:
10.1.10.1 (müsste mit NAT ja dann die 10.100.10.1 sein)
die zweite Testadresse (10.1.10.10) antwortet nicht.
In der FW habe ich als letzte Regel DENY-ALL, korrekt.
Komisch ist auch das ich auch den Ping auf die 10.1/100.10.1 in der FW nicht sehe, obwohl ich extra benachrichtigen aktiviert habe.
Ich Frage mich ob die Richtung vom NAT stimmt...
Das Systemhaus muss an uns ran nicht wir ans Systemhaus...
Wäre die Quelle dann nicht eher 10.100.x.x und das Umsetzen passiert dann auf unsere reales Netz 10.1.x.x??
ich habe die Maskierung wieder abgeschaltet.
Aus irgendeinem Grund kann der Mitarbeiter des Systemhauses nur eine IP bei uns anpingen:
10.1.10.1 (müsste mit NAT ja dann die 10.100.10.1 sein)
die zweite Testadresse (10.1.10.10) antwortet nicht.
In der FW habe ich als letzte Regel DENY-ALL, korrekt.
Komisch ist auch das ich auch den Ping auf die 10.1/100.10.1 in der FW nicht sehe, obwohl ich extra benachrichtigen aktiviert habe.
Ich Frage mich ob die Richtung vom NAT stimmt...
Das Systemhaus muss an uns ran nicht wir ans Systemhaus...
Wäre die Quelle dann nicht eher 10.100.x.x und das Umsetzen passiert dann auf unsere reales Netz 10.1.x.x??
Grüße aus dem Sauerland
Skeeve
Skeeve
Re: VPN und NAT Einrichtung
Hi Skeeve,
wenn beide Seiten das gleiche Netz benutzen, dann muß auch auf beiden Seiten ein N:N-NAT eingerichtet werden, das das jeweils eigene Netz für die Gegenseite ummappt, d.h. es reicht nicht aus, daß dein eigenes Netz auf der Gegenseite als 10.100.x.x auftaucht, da deine PCs - z.B. die 10.1.10.10 - die PCs der Gegenseite direkt ansprechen wollen, statt über das LANCOM zu gehen...
Ich vermute mal, die anpingbare 10.1.10.1 (bzw. 10.100.10.1) ist das LANCOM - das kann das hier noch auseinanderhalten, weil es ja weiss, über welches Interface das ping reingekommen ist...
Gruß
Backslash
wenn beide Seiten das gleiche Netz benutzen, dann muß auch auf beiden Seiten ein N:N-NAT eingerichtet werden, das das jeweils eigene Netz für die Gegenseite ummappt, d.h. es reicht nicht aus, daß dein eigenes Netz auf der Gegenseite als 10.100.x.x auftaucht, da deine PCs - z.B. die 10.1.10.10 - die PCs der Gegenseite direkt ansprechen wollen, statt über das LANCOM zu gehen...
Ich vermute mal, die anpingbare 10.1.10.1 (bzw. 10.100.10.1) ist das LANCOM - das kann das hier noch auseinanderhalten, weil es ja weiss, über welches Interface das ping reingekommen ist...
Gruß
Backslash
Re: VPN und NAT Einrichtung
Hi Backslash,
nein ganz so ist es nicht
Das Sytemhaus selber hat das Netz 10.128.0.0/255.255.0.0, ein anderer Kunde von denen hat das gleiche Netz wie wir!! Und darum das N:N Mapping bei uns.
Und die 10.1.10.1 ist NICHT der Lancom, der hat (unteranderen) die 10.1.1.1 .
Evtl. liegt es daran dass das VPN über eine 2. Leitung (Routing Tag 1) aufgebaut wird? Aber wie gesagt, der Tunnel an sich scheint zu laufen, sonst wäre der Server mit der IP 10.1.10.1 ja auch nicht erreichbar...
nein ganz so ist es nicht
Das Sytemhaus selber hat das Netz 10.128.0.0/255.255.0.0, ein anderer Kunde von denen hat das gleiche Netz wie wir!! Und darum das N:N Mapping bei uns.
Und die 10.1.10.1 ist NICHT der Lancom, der hat (unteranderen) die 10.1.1.1 .
Evtl. liegt es daran dass das VPN über eine 2. Leitung (Routing Tag 1) aufgebaut wird? Aber wie gesagt, der Tunnel an sich scheint zu laufen, sonst wäre der Server mit der IP 10.1.10.1 ja auch nicht erreichbar...
Grüße aus dem Sauerland
Skeeve
Skeeve
Re: VPN und NAT Einrichtung
Hi,
mach mal auf der Konsole ein
show vpn @ Systemhaus
(Systemhaus durch Bezeichnung der VPN-Gegenstelle ersetzen). Wenn Du's nicht hin kriegst, dann show vpn und die entsprechenden Zeilen manuell raussuchen. Das könntest Du (Name und IP-Adressen der Gateways am besten anonymisiert) dann hier mal angeben.
Ist die Route zum Systemhaus in der Routing-Tabelle denn auch mit Routing-Tag?
Zu Deinen anderen Fragen: nein, es ist schon so korrekt, wie oben geschrieben.
Hast Du die Firewall mal testweise abgeschaltet? Welche Netze hast Du in der Firewall denn angegeben?
Viele Grüße,
Jirka
mach mal auf der Konsole ein
show vpn @ Systemhaus
(Systemhaus durch Bezeichnung der VPN-Gegenstelle ersetzen). Wenn Du's nicht hin kriegst, dann show vpn und die entsprechenden Zeilen manuell raussuchen. Das könntest Du (Name und IP-Adressen der Gateways am besten anonymisiert) dann hier mal angeben.
Ist die Route zum Systemhaus in der Routing-Tabelle denn auch mit Routing-Tag?
Zu Deinen anderen Fragen: nein, es ist schon so korrekt, wie oben geschrieben.
Hast Du die Firewall mal testweise abgeschaltet? Welche Netze hast Du in der Firewall denn angegeben?
Viele Grüße,
Jirka
Re: VPN und NAT Einrichtung
Hier mal "show vpn @ Systemhaus"
Und nein, in der IPv4 Routing Tabelle hat kein VPN Tunnel den Routing Tag der CompanyNet Verbindung. Das hatte mir mal jemand von LANCOM bei einer anderen Gelegenheit gesagt. Aber zum Testen ist es ja schnell geändert.
Die Firewall abschalten, hmmmm geht auf keinen Fall im laufenden Betrieb.
Muss ich evtl. mal heute Abend schauen... allerdings würden dann auch die Leitungszuordnungen fehlen, den hier ist das Routing Tag eingetragen... allerdings auch in der VPN Verbindungsliste.
Mir fällt auf das #33 und #35 identisch sind...VPN SPD and IKE configuration:
# of connections = 35
Connection #33 10.111.0.0/255.255.240.0:0 <-> 10.128.0.0/255.255.0.0:0 any
Name: Systemhaus Unique Id: ipsec-1-Systemhaus-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 10.111.0.0/255.255.240.0)
Local Gateway: IPV4_ADDR(any:0, 123.456.789.123)
Remote Gateway: IPV4_ADDR(any:0, 987.654.321.987)
Remote Network: IPV4_ADDR_SUBNET(any:0, 10.128.0.0/255.255.0.0)
Connection #34 192.168.1.0/255.255.255.0:0 <-> 10.128.0.0/255.255.0.0:0 any
Name: Systemhaus
Unique Id: ipsec-0-Systemhaus-pr0-l1-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.1.0/255.255.255.0)
Local Gateway: IPV4_ADDR(any:0, 123.456.789.123)
Remote Gateway: IPV4_ADDR(any:0, 987.654.321.987)
Remote Network: IPV4_ADDR_SUBNET(any:0, 10.128.0.0/255.255.0.0)
Connection #35 10.111.0.0/255.255.240.0:0 <-> 10.128.0.0/255.255.0.0:0 any
Name: Systemhaus
Unique Id: ipsec-0-Systemhaus-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 10.111.0.0/255.255.240.0)
Local Gateway: IPV4_ADDR(any:0, 123.456.789.123)
Remote Gateway: IPV4_ADDR(any:0, 987.654.321.987)
Remote Network: IPV4_ADDR_SUBNET(any:0, 10.128.0.0/255.255.0.0)
Und nein, in der IPv4 Routing Tabelle hat kein VPN Tunnel den Routing Tag der CompanyNet Verbindung. Das hatte mir mal jemand von LANCOM bei einer anderen Gelegenheit gesagt. Aber zum Testen ist es ja schnell geändert.
Die Firewall abschalten, hmmmm geht auf keinen Fall im laufenden Betrieb.
Muss ich evtl. mal heute Abend schauen... allerdings würden dann auch die Leitungszuordnungen fehlen, den hier ist das Routing Tag eingetragen... allerdings auch in der VPN Verbindungsliste.
Grüße aus dem Sauerland
Skeeve
Skeeve
Re: [Solved] VPN und NAT Einrichtung
So, Problem gelöst.
Es war ein "Doppelpack".
Auf der einen Seite hatte ich übersehen dass das gemappte Netz leider schon in Verwendung war (allerdings nur in Vorbereitung in einigen Firewallregeln, darum habe ich es auch nicht gesehen, wir arbeiten viel mit den Objekten)
und auf der anderen Seite hat das Systemhaus eine falsche Netzmaske verwendte /24 statt /20.
Nun läufts.
Danke an alle die geholfen haben!
BTW @ Jirka: kein Routing Tag in der Routing Tabelle.
Es war ein "Doppelpack".
Auf der einen Seite hatte ich übersehen dass das gemappte Netz leider schon in Verwendung war (allerdings nur in Vorbereitung in einigen Firewallregeln, darum habe ich es auch nicht gesehen, wir arbeiten viel mit den Objekten)
und auf der anderen Seite hat das Systemhaus eine falsche Netzmaske verwendte /24 statt /20.
Nun läufts.
Danke an alle die geholfen haben!
BTW @ Jirka: kein Routing Tag in der Routing Tabelle.
Grüße aus dem Sauerland
Skeeve
Skeeve