Encryption Domain mit kleinerer Netzmaske

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
TomKon
Beiträge: 2
Registriert: 22 Jan 2019, 09:32

Encryption Domain mit kleinerer Netzmaske

Beitrag von TomKon »

Hallo,
bei einer IKE1 VPN Verbindung zu einem Partner soll folgende Änderung durchgeführt werde:

alte VPN Verbindung (produktiv):
Encryption Domain: 10.66.1.0 /24
Zieladresse: 10.8.8.168/32
N:N NAT
192.168.1.0 /24 -> 10.66.1.0
Routing:
10.8.8.168 /32 -> VPN Gegenstelle
VPN Netzwerkregel
10.66.1.0 /24 -> VPN Gegenstelle

neue VPN Verbindung (funktioniert nicht)
Encryption Domain 10.66.1.0 /28 !!!!!!
N:N NAT
192.168.1.0 /24 -> 10.66.1.0
Routing:
10.8.8.168 /32 -> VPN Gegenstelle
VPN Netzwerkregel
10.66.1.0 /28 -> VPN Gegenstelle

Frage wie setze ich ein NAT auf eine kleinere Maske um?
Geht das überhaupt? Vielleicht ein völlig anderer Weg besser?

Gruß
Thomas
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Encryption Domain mit kleinerer Netzmaske

Beitrag von MariusP »

Hi,
Welchen Menüpunkt meinst du mit Encryption Domain? Ich habe das Wort bisher noch nie gesehen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Encryption Domain mit kleinerer Netzmaske

Beitrag von GrandDixence »

Stimmt wahrscheinlich etwas bei den "Netzwerkregeln" nicht. Für Hilfestellung siehe:
viewtopic.php?f=14&t=17185&p=97460#p97460
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Encryption Domain mit kleinerer Netzmaske

Beitrag von backslash »

Hi TomKon
Frage wie setze ich ein NAT auf eine kleinere Maske um?
in dem du beim N:N-NAT die kleinere Netzmaske einträgst...

Gruß
Backslash
TomKon
Beiträge: 2
Registriert: 22 Jan 2019, 09:32

Re: Encryption Domain mit kleinerer Netzmaske

Beitrag von TomKon »

Hi backslash,

die Frage war blöd gestellt. Wie bekomme ich es hin, das ich mein mein gesamtes Class C in das Subnet umgesetzt wird.
Wäre es denkbar über Policybased NAT zu gehen.

Also:
N:N NAT aus !!

Firewall Regel mit Policy Based NAT
192.168.1.0 /24 -> 10.66.1.10 /32 (oder geht das nur mit öffentlichen Router IP's)

VPN Netzwerkregel
10.66.1.0 /28 -> VPN Gegenstelle
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Encryption Domain mit kleinerer Netzmaske

Beitrag von backslash »

Hi TomKon
Wie bekomme ich es hin, das ich mein mein gesamtes Class C in das Subnet umgesetzt wird.
nein, denn das wäre ein N:M-Nat... Im LANCOM ist aber "nur" ein N:N-NAT implementiert.

Die einzige Möglichkeit wäre mit "Extranet" zu arbeiten, d.h. das ganze Netz hinter einer Adresse zu maskieren.
Firewall Regel mit Policy Based NAT
192.168.1.0 /24 -> 10.66.1.10 /32 (oder geht das nur mit öffentlichen Router IP's)
das kannst du dir sparen... Trag für IKEv1 Verbindungen einfach die 10.66.1.10 als "Extranet-Adresse" auf der VPN-Verbindung (VPN -> IKE/IPSec -> Verbindungsliste) ein.
Für IKEv2-Verbindungen mußt du in der Routing-Tabelle an der VPN-Route die Maskierungs-Option einschalten und in der IP-Parameterliste (Kommunikation -> Protokolle -> IP-Parameter...) die 10.66.1.10 der VPN-Verbindung als "Maskierungs-IP-Adresse" zuweisen

Bei einer Maskierung hast du ber natürlich die Einschränkung, daß du Verbinungen nur in einer Richtung (abgehend) aufbauen kannst. Für eingehende Verbinungen müßtest du ein Portforwarding einrichten (halt wie bei der Internetverbindung auch)

Gruß
Backslash
Antworten