Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 2656 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN mit NAT

PatKai

Hallo,

 

ich habe ein kleines Problem damit, eine NAT-Regel für ein IPsec VPN aufzusetzen und komme hier nicht weiter.

 

Kurz zum logischen Ablauf:

Es besteht eine IPsec VPN-Verbindung zwischen unserer Sophos und der Watchguard des Dienstleisters.
Der Dienstleister will über diese VPN-Verbindung per RDP auf zwei Server von uns. Er hat für diese unsere Server zwei IPs bei sich vergeben, die nicht mit den IPs übereinstimmen, die wir für die Server vergeben haben. Hier wird später dann das NAT fällig.

 

Die IPsec VPN-Verbindung:


Das Remote Gateway ist angelegt mit dem Remote Network 192.168.251.1/32:

 

 

Die VPN-Verbindung nutzt folgende local Networks, die der Dienstleister bei sich angelegt hat.
Diese IPs sollen später genattet werden, da wir für diese IPs intern andere Adressen vergeben haben als der Dienstleister bei sich in der IPsec Konfiguration:

 

 

Nun möchte der Dienstleister über das IPsec-VPN über die lokalen IPs die er vergeben hat (192.168.254.163 und .164) über RDP auf Server von uns zugreifen. Die internen Server-IPs sind beispielsweise 10.0.50.61 und 10.0.50.62.

 

Wie müsste hierfür die NAT-Regel aussehen?
So, wie ich das verstehe, muss ich der Sophos sagen, dass der Datenverkehr der auf die IPs 192.168.254.163 und 164. eingeht, auf unsere lokalen IPs für die Server (10.0.50.61 und 10.0.50.62) umgebogen werden.

Ich komme hier leider nur nicht weiter.

 

Vielen Dank vorab!



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    zeige uns mal, wie die nicht funktionierende NAT Regel aussieht?

    Grob gesehen müsstest du 2 haben und die Erklärung wie diese auszusehen haben ist schlüssig.

     

    etwas so SNAT Source-any , service-RDP , Host1 --> interner host1  - automatische FW Rule aktiv, da granulare Definition

    Wenn es dann funktioniert, würde ich die automatische FW-Rule in der VPN-definition löschen und ggf. durch eine richtige FW-Rule ersetzen.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

     

    folgende Full-NAT Regel habe ich bis dato konfiguriert:

     

    Das ist erstmal exemplarisch für einen der zwei internen Server, sagen wir dem 10.0.50.61.

    Im Prinzip geht alles vom externen GW des Dienstleisters über RDP was am external Interface anliegt mit der geänderten Quell-IP (External Interface) an die geänderte Ziel-IP (interner Server IP).

     

    Bitte korrigiere mich, sollte ich einen Denkfehler haben.

    Danke und Gruß,

    Patrick

  • +1 in reply to PatKai

    Sieht schon ein bisschen komisch aus ...

    192.168.254.163 ist die externe (WAN)-IP?

    Muss wirklich full-NAT eingesetzt werden? reicht DNAT nicht?

    Ich spreche in solchen Situationen immer interne Adressen an, also keine über die das Paket oder der Tunnel ankommt.

    Wie sieht das Ganze denn im Live-log aus? Da müsste die NAT-regel und das Permit zu sehen sein.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • +1 in reply to PatKai

    Sieht schon ein bisschen komisch aus ...

    192.168.254.163 ist die externe (WAN)-IP?

    Muss wirklich full-NAT eingesetzt werden? reicht DNAT nicht?

    Ich spreche in solchen Situationen immer interne Adressen an, also keine über die das Paket oder der Tunnel ankommt.

    Wie sieht das Ganze denn im Live-log aus? Da müsste die NAT-regel und das Permit zu sehen sein.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Die 192.168.254.163 ist eine lokale IP. Diese hat der Dienstleister für uns vergeben (für das IPsec VPN), wir müssen sie, so wie ich das sehe, auf die "tatsächliche" IP unseres lokalen Servers natten.

    Das Full-NAT war ein Versuch von mir.

     

    Anbei nochmal ein Schaubild. Die blauen IPs sind diese, wie sie bereits in der IPsec Konfig angegeben sind (alles Pseudo-IPs zum Veranschaulichen), die Orangenen sind unsere realen LAN-IPs der Server bei uns.
    Ich hoffe es hilft.

     

Unfiltered HTML