Hallo in die Runde,
ich habe ein kleines Verständnis-/Konfigurationsproblem beim N:N NAT. Folgende Umgebung:
- IPSec Site-to-Site VPN zwischen 2 Lancoms (LCOS 9.20 in der Außenstelle, LCOS 9.04 in der Zentrale)
- Außenstelle, Netz1: 192.168.96.0 /24, Routing-Tag / Schnittstellen-Tag 1, LAN-1
- Außenstelle, Netz2: 10.2.12.0 /24, Routing-Tag / Schnittstellen-Tag 2, LAN-1
- Zentrale: 10.1.0.0 /16
Der IPSec S2S-Tunnel ist zwischen den Netzen 10.2.12.0/24 und 10.1.0.0/16 konfiguriert und die VPN-Gegenstelle trägt ebenfalls den Tag 2 - funktioniert soweit problemlos. Die Netze 192.168.96.0 und 10.2.12.0 sind auf dem Router der Außenstelle durch Schnittstellen-Tags / Routing-Tags / VPN-Tags voneinander getrennt.
Im Netz 192.168.96.0 befindet sich jedoch 1 PC, welcher auf genau 1 Adresse des Netzes 10.1.0.0/16 in der Zentrale zugreifen soll, ich kann jedoch das Netz 192.168.96.0 nicht """"in den VPN-Tunnel zu diesem Netz mit aufnehmen"""" - politische Gründe. Soweit ich verstanden habe, könnte man jedoch über ein N:N NAT einen Eintrag schreiben, dass diese eine IP aus dem Netz 192.168.96.0 über die VPN-Gegenstelle zur Zentrale auf eine IP-Adresse aus dem Bereich 10.2.12.0 umgesetzt wird. Da aus diesem Netz via VPN in die Zentrale zugegriffen werden kann, sollte doch dann die umgesetzte IP ebenfalls den Zugriff haben?!
Ist das soweit erstmal korrekt?
Falls ja, was muss ich zusätzlich zum Eintrag in der N:N-NAT Tabelle noch einstellen, da die Netze ja via Tags voneinander getrennt sind?
Ich habe es schon mit einer Firewall-Regel probiert, welche die Tags neu schreibt (Quell-Tag 1, Routing-Tag 2 und die entsprechenden Quell- und Ziel-IPs im Reiter "Stationen" eingetragen), leider ohne Erfolg.
Der Eintrag in der N:N NAT-Tabelle sieht folgendermaßen aus:
Ziel-Gegenstelle: ZENTRALE
Original Quell-IP-Adresse: 192.168.96.39
Netzmaske: 255.255.255.255
Umges. Quell-IP-Adresse: 10.2.12.221
Im IP-Masquerading Trace sehe ich keine Events zum Umschreiben der IP-Adresse. Der IP-Router Trace zeigt mir nur den Zugriff von der Original-Quell-IP auf die Ziel-IP an. Ich sehe nirgends die umgesetzte Quell-IP.
Vielen Dank vorab & Grüße aus Leipzig,
Norman.
N:N NAT Verständnisproblem
Moderator: Lancom-Systems Moderatoren
Re: N:N NAT Verständnisproblem
Hi,
die Umsetzung erfolgt nach dem Routen, was erklärt, warum Du im Router-Trace nur die originale Quell-IP siehst.
Hast Du die Firewall-Regel denn auch für die originale IP angelegt oder für die umgesetzte?
Grüße,
Torsten
die Umsetzung erfolgt nach dem Routen, was erklärt, warum Du im Router-Trace nur die originale Quell-IP siehst.
Hast Du die Firewall-Regel denn auch für die originale IP angelegt oder für die umgesetzte?
Grüße,
Torsten