Thread Info
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 10328 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing über mehrere VPN-Verbindungen

ipzipzap

Hallo,

ich verzweifele gerade an folgender Konstellation:
Gegeben ist ein Netz A mit einer VPN-Verbindung zu Netz B:

Netz A (192.168.1.0/24) [Firewall] <--(tunnel)--> [UTM] Netz B (192.168.1.0/24)

Von jeder Seite kann zur anderen gepingt werden, da die entsprechenden Routen auf beiden Seiten gesetzt sind.
Nun kommt noch eine weitere VPN-Verbindung dazu:

Netz A (192.168.1.0/24) [Firewall] <--(tunnel)--> [UTM] Netz B (192.168.1.0/24) <--(tunnel)--> [UTM] Netz C (192.168.3.0/24)

Die Firewall in Netz A ist NICHT unter meiner Kontrolle und ich kann dort keine Routen einrichten.
Wie kann ich nun von Netz C das Netz A erreichen? Routen ins Netz A kann ich setzen, aber es fehlt im Netz A die Back-Route ins Netz C.

Kann man das irgendwie per Proxy, (1:1 o. Full-)NAT oder Masquerading lösen?


Danke im Voraus,

Dino



This thread was automatically locked due to age.

  • Grundsätzlich wäre nur der default Gateway relevant und die entsprechende Konfiguration des VPNs (local & remote networks). Hast Du Zugriff auf die UTM c?

    Das SNAT sollte auf der UTM c stattfinden. Kannst es aber auch auf der UTM b probieren, geht nur meist nicht gut (zu viele Fehlerquellen aus Deinem Posting nicht ersichtlich).

    <edit>Ups, Netz A ist ja Thema. Dann alles, was aus Netz C kommt, mit UTM A maskieren.</edit>

  • in reply to K.N.

    Danke für Deine Antwort, aber ich habe auf Netz A keinen Zugriff und kann der dortigen Firewall auch somit keine Route zu Netz C unterschieben oder andere Einstellungen machen.

  • in reply to ipzipzap

    Dann könntest Du probieren, auf der UTM B die Pakete von C nach A mit B zu maskierten.

    Sicher das der Inhaber von Netz A damit einverstanden ist?

  • (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Dino, if you control Netz B, I would seriously consider changing the subnet to a /24 in 172.06.0.0/12.  I don't understand how it's possible to communicate between A and B when they both have the same subnet and A won't cooperate.  It is possible with NATs and "phantom" subnets, but you must have the cooperation of the admin for Netz A.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • in reply to BAlfson

    Ich hatte dort ein 192.168.2.0 interpretiert, da sonst ein Routing zwischen A und B und folglich auch ein "ping" nicht möglich wäre. Wahrscheinlich werden die echten Netze andere sein.

  • in reply to K.N.

    Wahrscheinlich, but why even offer explicit numeric IPs if they give a false picture of the network?  I just assumed the ping responses were coming from the local networks in each case...

    If you have no  opportunity to change the tunnel definition in Netz A, your only choice is an NAT rule in location B:

    SNAT : {Netz C} -> Any -> {Netz A} : from Internal (Address)

    This trick of SNATting traffic into an IPsec tunnel is a handy one to keep in mind.

    MfG - Bob ( Bitte auf Deutsch  weiterhin. )

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner