Hallo,
folgendes Szenario:
QSC DSL Anschluß + zusätzliches /29 Netz.
Habe hier an Clients die IPs per N:N:Nat verteilt, sprich:
212.202.226.212 > 10.10.194.212
Dies auch auf eine Firewall eines Kunden (Intranator).
Der Support des Firewall Herstellers sagt nun, diese Lösung mit einem Transfernetz ist nicht machbar und ein Supporter stellte fest dass IP Protokoll 50 nicht durchgeleitet würde (nur der Aufbau des VPNs funktioniert wohl, ein Routing darin nicht).
Da die Firewall nicht meine Hardware ist kann ich hier nichts konfigurieren - was kann ich am N:N:Nat ändern? Dachte bisher immer diese sei die transparenteste Methode um dem Kunden öffentliche IPs zukommen zu lassen?
Vielen Dank für Denkanstöße,
lehonk
IPSec VPN / N:N:NAT
Moderator: Lancom-Systems Moderatoren
Hi lehonk,
Gruß
Backslash
was meint er damit? Nach dem N:N-NAT ist doch von den ursprünglichen Adressen nichts mehr zu sehen und die Firewall kann daher auch nichts davon wissen...Der Support des Firewall Herstellers sagt nun, diese Lösung mit einem Transfernetz ist nicht machbar
da hilft NAT-T... (Häkchen unter VPN -> Allgemein -> NAT-Traversal aktiviert setzen)und ein Supporter stellte fest dass IP Protokoll 50 nicht durchgeleitet würde (nur der Aufbau des VPNs funktioniert wohl, ein Routing darin nicht).
Wie ich schon schrieb, kann die Firewall anhand der Pakete nicht feststellen, ob da ein N:N-NAT zwischenliegt - also brauchst du auch nichts daran zu ändern...Da die Firewall nicht meine Hardware ist kann ich hier nichts konfigurieren - was kann ich am N:N:Nat ändern?
Du könntest höchstens noch ganz ohne N:N-NAT arbeiten und direkt die öffentliche IPs nutzen... Dazu richtest du einfach eine DMZ ein, die die das öffentliche /29-Netz aufspannt und stellst auf der Defaultroute noch die Maskierungsoption auf "nur Intranet maskieren"Dachte bisher immer diese sei die transparenteste Methode um dem Kunden öffentliche IPs zukommen zu lassen?
Gruß
Backslash