Hallo,
bei einer IKE1 VPN Verbindung zu einem Partner soll folgende Änderung durchgeführt werde:
alte VPN Verbindung (produktiv):
Encryption Domain: 10.66.1.0 /24
Zieladresse: 10.8.8.168/32
N:N NAT
192.168.1.0 /24 -> 10.66.1.0
Routing:
10.8.8.168 /32 -> VPN Gegenstelle
VPN Netzwerkregel
10.66.1.0 /24 -> VPN Gegenstelle
neue VPN Verbindung (funktioniert nicht)
Encryption Domain 10.66.1.0 /28 !!!!!!
N:N NAT
192.168.1.0 /24 -> 10.66.1.0
Routing:
10.8.8.168 /32 -> VPN Gegenstelle
VPN Netzwerkregel
10.66.1.0 /28 -> VPN Gegenstelle
Frage wie setze ich ein NAT auf eine kleinere Maske um?
Geht das überhaupt? Vielleicht ein völlig anderer Weg besser?
Gruß
Thomas
Encryption Domain mit kleinerer Netzmaske
Moderator: Lancom-Systems Moderatoren
Re: Encryption Domain mit kleinerer Netzmaske
Hi,
Welchen Menüpunkt meinst du mit Encryption Domain? Ich habe das Wort bisher noch nie gesehen.
Gruß
Welchen Menüpunkt meinst du mit Encryption Domain? Ich habe das Wort bisher noch nie gesehen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
- Beiträge: 1060
- Registriert: 19 Aug 2014, 22:41
Re: Encryption Domain mit kleinerer Netzmaske
Stimmt wahrscheinlich etwas bei den "Netzwerkregeln" nicht. Für Hilfestellung siehe:
viewtopic.php?f=14&t=17185&p=97460#p97460
viewtopic.php?f=14&t=17185&p=97460#p97460
Re: Encryption Domain mit kleinerer Netzmaske
Hi TomKon
Gruß
Backslash
in dem du beim N:N-NAT die kleinere Netzmaske einträgst...Frage wie setze ich ein NAT auf eine kleinere Maske um?
Gruß
Backslash
Re: Encryption Domain mit kleinerer Netzmaske
Hi backslash,
die Frage war blöd gestellt. Wie bekomme ich es hin, das ich mein mein gesamtes Class C in das Subnet umgesetzt wird.
Wäre es denkbar über Policybased NAT zu gehen.
Also:
N:N NAT aus !!
Firewall Regel mit Policy Based NAT
192.168.1.0 /24 -> 10.66.1.10 /32 (oder geht das nur mit öffentlichen Router IP's)
VPN Netzwerkregel
10.66.1.0 /28 -> VPN Gegenstelle
die Frage war blöd gestellt. Wie bekomme ich es hin, das ich mein mein gesamtes Class C in das Subnet umgesetzt wird.
Wäre es denkbar über Policybased NAT zu gehen.
Also:
N:N NAT aus !!
Firewall Regel mit Policy Based NAT
192.168.1.0 /24 -> 10.66.1.10 /32 (oder geht das nur mit öffentlichen Router IP's)
VPN Netzwerkregel
10.66.1.0 /28 -> VPN Gegenstelle
Re: Encryption Domain mit kleinerer Netzmaske
Hi TomKon
Die einzige Möglichkeit wäre mit "Extranet" zu arbeiten, d.h. das ganze Netz hinter einer Adresse zu maskieren.
Für IKEv2-Verbindungen mußt du in der Routing-Tabelle an der VPN-Route die Maskierungs-Option einschalten und in der IP-Parameterliste (Kommunikation -> Protokolle -> IP-Parameter...) die 10.66.1.10 der VPN-Verbindung als "Maskierungs-IP-Adresse" zuweisen
Bei einer Maskierung hast du ber natürlich die Einschränkung, daß du Verbinungen nur in einer Richtung (abgehend) aufbauen kannst. Für eingehende Verbinungen müßtest du ein Portforwarding einrichten (halt wie bei der Internetverbindung auch)
Gruß
Backslash
nein, denn das wäre ein N:M-Nat... Im LANCOM ist aber "nur" ein N:N-NAT implementiert.Wie bekomme ich es hin, das ich mein mein gesamtes Class C in das Subnet umgesetzt wird.
Die einzige Möglichkeit wäre mit "Extranet" zu arbeiten, d.h. das ganze Netz hinter einer Adresse zu maskieren.
das kannst du dir sparen... Trag für IKEv1 Verbindungen einfach die 10.66.1.10 als "Extranet-Adresse" auf der VPN-Verbindung (VPN -> IKE/IPSec -> Verbindungsliste) ein.Firewall Regel mit Policy Based NAT
192.168.1.0 /24 -> 10.66.1.10 /32 (oder geht das nur mit öffentlichen Router IP's)
Für IKEv2-Verbindungen mußt du in der Routing-Tabelle an der VPN-Route die Maskierungs-Option einschalten und in der IP-Parameterliste (Kommunikation -> Protokolle -> IP-Parameter...) die 10.66.1.10 der VPN-Verbindung als "Maskierungs-IP-Adresse" zuweisen
Bei einer Maskierung hast du ber natürlich die Einschränkung, daß du Verbinungen nur in einer Richtung (abgehend) aufbauen kannst. Für eingehende Verbinungen müßtest du ein Portforwarding einrichten (halt wie bei der Internetverbindung auch)
Gruß
Backslash