Spezielle NAT Anforderung

[MopedVolker]

Hallo,

ich habe folgende Netzanbindung:

Code: Alles auswählen

10.10.1.0/24   --- |Securepoint| ------ IPSEC ------ |LANCOM| --- 192.168.10.0/24

Das Problem: Das entfernte Netz 192.168.10.0/24 erwartet folgende Netzanbindung/Sicht:

Code: Alles auswählen

172.16.1.0/29 --- |Securepoint| ------ IPSEC ------ |LANCOM| --- 192.168.10.0/24

Aktuell kann ich lokal das Netz 172.16.1.0/29 jedoch nicht so umfänglich implementieren. Bisher habe ich das Problem so gelöst, dass ich am beim Vorgänger des LANCOM (Bintec Router) den ein-/ausgehenden Traffic per NAT "manipuliert" habe. Krass einfach, alles in einer Maske lösbar gewesen.

Zum Verständnis ein paar Beispiele.

Ausgehender Traffic 10.10.1.22 -> 192.168.10.144

Code: Alles auswählen

10.10.1.22 ---> |Securepoint| ------ IPSEC ------> |LANCOM (New SRC IP 172.16.1.4)| ---> 192.168.10.144

In Worten: Initiiert 10.10.1.22 Datenübertragung an 192.168.10.144, ersetze die Absenderadresse durch 172.16.1.4.

Eingehender Traffic 172.16.1.4 <- 192.168.10.144

Code: Alles auswählen

10.10.1.22 <--- |Securepoint| <------ IPSEC ------ |(New DST IP 10.10.1.22) LANCOM| <--- 192.168.10.144

In Worten: Initiiert 192.168.10.144 Datenübertragung an 172.16.1.4, ersetze die Zieladresse durch 10.10.1.22.


Ist diese Problemstellung auch mit LCOS lösbar?

[backslash]

Hi MopedVolker,

es wäre lösbar, wenn die Securepoint-Seite ein /24 Netz erwarten würde - das wäre dann einfach ein N:N-NAT...
Da sie aber ein /29 Netz erwartet, geht das nicht - ich wage auch zu bezeifeln, daß das mit dem Bintec funktioniert haben soll - denn die Netze haben unterschiedliche Größen, d.h. von der Securepoint-Seite aus kannst du auch bei einem Bitec maximal 4 Hosts auf der Bintec-Seite erreichen - genaugenommen nur zwei, denn von den 4 Adressen, gehen noch Netzwerk- und Broadcastadresse ab.

Das läuft dann höchstens auf eine Maskierung in der einen (LANCOM -> Securepoint) und Portforwarding in der anderen (Securepoint -> LANCOM) Richtung hinaus.

Gruß
Backslash

[PappaBaer]

d.h. von der Securepoint-Seite aus kannst du auch bei einem Bitec maximal 4 Hosts auf der Bintec-Seite erreichen - genaugenommen nur zwei, denn von den 4 Adressen, gehen noch Netzwerk- und Broadcastadresse ab.

[Klugscheißermodus]
Ein /29-Netz hat 2^3 Adressen, also insgesamt 8, macht nach Abzug von Netz- und Broadcast-Adresse 6 nutzbare IP-Adressen.
[/Klugscheißermodus]
Ansonsten hat Backslash aber Recht, was die Nutzung von N:N-Nat angeht.

Grüße,
Torsten

[backslash]

Hi PappaBaer

[Klugscheißermodus]
Ein /29-Netz hat 2^3 Adressen, also insgesamt 8, macht nach Abzug von Netz- und Broadcast-Adresse 6 nutzbare IP-Adressen.
[/Klugscheißermodus]

stimmt...

Gruß
Backslash

[MopedVolker]

Hallo zusammen,

ich habe die NAT Maske vom Bintec für einen Host beigefügt.

Evtl. ist die Problembeschreibung von mir auch immer noch nicht präzise genug. Aus Sicht der entfernten Netzes haben wir 6 mögliche Hosts zur Verfügung, die zur Kommunikation mit dem entfernten Netz 192.168.10.0/24 berechtigt sind. Es ist klar definiert, welche IP Adressen mit welchen, wie kommunizieren dürfen.

Eine definierte IP Adresse (192.168.10.144) im entfernten Netz ist für den Datenempfang aus dem 172.16.1.0/29 Netz vorgegeben, 9 weitere definierte IPs senden Daten aus dem 192.168.10.0/24 Netz.

Im lokalen Netz repräsentiert der Host 10.10.1.22 den (sende-/empfangsberechtigten) Host 172.16.1.4 für das Netz 192.168.10.0/24 - immer.

[PappaBaer]

Moin,

sorry, gerade nicht viel Zeit, aber das müsste sich beim Lancom doch so mit Policy-based-NAT in der Firewall lösen lassen, oder?

Grüße,
Torsten

[MopedVolker]

Hi,

das ist doch das Feature, was direkt in den Firewall Regeln konfiguriert wird, oder? Darüber bin ich auch mal "gestolpert", aber habe dabei gelesen, dass es sich nur auf Traffic an der WAN Schnittstelle auswirkt. Evtl. habe ich das auch falsch verstanden.

[MopedVolker]

Moin,

ich hab das mit dem Policy-Based NAT nun in etlichen Kombinationen getestet. Dazu habe ich extra die SYSLOG Protokollierung aktiviert (die bei ACCEPT Regeln in der WEB UI mal gar nicht angezeigt wird, nur im LAN Monitor - Respekt).

Definierte Source IP, Destination IP, die entsprechende Accept Regel samt Aktion für Policy-Based NAT mit der neuen IP.

Abgesehen davon, dass es auch nicht funktioniert, erscheint nicht mal ein SYSLOG Eintrag - weder für die Accept Regel, noch für die DENY-ALL Last Rule (es gibt aktuell nur die 2 Regeln).