Site to Site VPN mit NAT einrichten

Hi Marc,

grundsätzlich so, wie Manuel es beschrieben hat, das resultiert dann aber darin, dass Euer Server im LAN auf 192.168.0.2 von der anderen Seite über die genatete IP, z.B. 10.0.0.2 ansprechbar ist. Mit der internen IP eines Systems allein kann jemand auf der Gegenseite noch nicht viel anfangen, NAT würde ich bei VPN eher nur dann empfehlen, wenn z.B. gleiche Netze verbunden werden müssen oder es z.B. bereits einen anderen VPN-Tunnel aus einem der Netze woanders hin gibt, wo das Netz bereits benutzt wird.

Es gibt aber durchaus auch Anwendungsbereiche, wo ein SNAT/DNAT auf eine einzelne IP benötigt wird, z.B. Firma 1 mit 2 Standorten/Netzen braucht Zugriff auf Firma 2, im Tunnel ist aber nur das Netz des direkt via VPN verbundenen Standorts konfiguriert oder Firma 2 soll nicht wissen, dass aus 2 verschiedenen Netzen zugegriffen wird...

Was Du Dir aber auf jeden Fall sofort abgewöhnen solltest ist der Haken für die automatische Firewallregel, denn erst damit erlaubst oder schränkst Du Zugriffe von A nach B effektiv ein. Wegen mir zum Testen, aber auch dort dann lieber gezielt von Hand erstellt.

Wenn Du es noch sicherer haben willst musst Du ja nicht mal das komplette Netz in die VPN-Config nehmen, es kann z.B. auch konfiguriert werden, dass ein komplettes Netz A über VPN nur zu einem bestimmten Host in Netz B kommunizieren darf, anders herum der Host in Netz B zu allen Hosts in Netz A.

Allerdings muss oder bzw. sollte die Tunnelconfig auf beiden Seiten immer identisch sein, manche VPN-Router vergeben Abweichungen noch und bauen den Tunnel dennoch auf, andere verweigern bei kleinster Abweichung z.B. in der Subnetzmaske (Netz hat /23, der Tunnel hat aber /24 konfiguriert) komplett den Dienst.

Hi Marc,

grundsätzlich so, wie Manuel es beschrieben hat, das resultiert dann aber darin, dass Euer Server im LAN auf 192.168.0.2 von der anderen Seite über die genatete IP, z.B. 10.0.0.2 ansprechbar ist. Mit der internen IP eines Systems allein kann jemand auf der Gegenseite noch nicht viel anfangen, NAT würde ich bei VPN eher nur dann empfehlen, wenn z.B. gleiche Netze verbunden werden müssen oder es z.B. bereits einen anderen VPN-Tunnel aus einem der Netze woanders hin gibt, wo das Netz bereits benutzt wird.

Es gibt aber durchaus auch Anwendungsbereiche, wo ein SNAT/DNAT auf eine einzelne IP benötigt wird, z.B. Firma 1 mit 2 Standorten/Netzen braucht Zugriff auf Firma 2, im Tunnel ist aber nur das Netz des direkt via VPN verbundenen Standorts konfiguriert oder Firma 2 soll nicht wissen, dass aus 2 verschiedenen Netzen zugegriffen wird...

Was Du Dir aber auf jeden Fall sofort abgewöhnen solltest ist der Haken für die automatische Firewallregel, denn erst damit erlaubst oder schränkst Du Zugriffe von A nach B effektiv ein. Wegen mir zum Testen, aber auch dort dann lieber gezielt von Hand erstellt.

Wenn Du es noch sicherer haben willst musst Du ja nicht mal das komplette Netz in die VPN-Config nehmen, es kann z.B. auch konfiguriert werden, dass ein komplettes Netz A über VPN nur zu einem bestimmten Host in Netz B kommunizieren darf, anders herum der Host in Netz B zu allen Hosts in Netz A.

Allerdings muss oder bzw. sollte die Tunnelconfig auf beiden Seiten immer identisch sein, manche VPN-Router vergeben Abweichungen noch und bauen den Tunnel dennoch auf, andere verweigern bei kleinster Abweichung z.B. in der Subnetzmaske (Netz hat /23, der Tunnel hat aber /24 konfiguriert) komplett den Dienst.