Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2885 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN with overlapping network addressing schemes

maumercado
Hello all...

how can I fix a vpn connection on my side only in order to be able to connect several clients to a vpn without changing ip addressing scheme? Problem with the vpn is that it uses the same ip addressing scheme that I have for my network.

I know this is posible trough NAT configurations, but how can I do them in astaro?

Thank you very much y'all!


This thread was automatically locked due to age.
Parents
  • 0
    Let's assume that both sides of an IPsec Site-to-Site VPN have an 'Internal (Network)' of 172.20.1.0/24, and you want to allow access to a host named "Webserver" at 172.20.1.9:
    • Create an Additional Address on the Internal interface named "Webserver_Phantom" at 172.20.0.9.
    • Create a NAT rule: 'VPN Pool (IPsec) -> Any -> Webserver_Phantom : DNAT to Webserver'*

    Please let us know if that resolved your problem, or if there are additional things the next person should know when they read this.

    Cheers - Bob
    * In creating D/SNAT rules, leave the 'Service' field blank if you aren't changing it.  In this case, there's no change in the service 'Any', so the 'Destination service' field should be left blank.
Reply
  • 0
    Let's assume that both sides of an IPsec Site-to-Site VPN have an 'Internal (Network)' of 172.20.1.0/24, and you want to allow access to a host named "Webserver" at 172.20.1.9:
    • Create an Additional Address on the Internal interface named "Webserver_Phantom" at 172.20.0.9.
    • Create a NAT rule: 'VPN Pool (IPsec) -> Any -> Webserver_Phantom : DNAT to Webserver'*

    Please let us know if that resolved your problem, or if there are additional things the next person should know when they read this.

    Cheers - Bob
    * In creating D/SNAT rules, leave the 'Service' field blank if you aren't changing it.  In this case, there's no change in the service 'Any', so the 'Destination service' field should be left blank.
Children
  • 0 in reply to BAlfson
    Im trying something else... since my problem is that only certain clients can use the vpn, those have installed a checkpoint secure client, and a site to site is not an option since the people on the other side are reluctant to collaboration...

    I will have to place the vpn clients in a new network segment!

    Hope that does it...

    Still the question remains, what if I would like to do all in one side? should i do some prerouting nat and/or postrouting nat to get it working?
  • 0 in reply to maumercado
    The problem with over-lapping subnets is that the client side doesn't know to get packets from its subnet routed through the VPN.  It makes no difference if it's a site-to-site or remote access.

    Cheers - Bob