Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5437 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to set up a VPN Connection between 2 same networks?

MrBrown
Hi @all,

for a customer we have to set up a VPN Connection between 2 same networks.

We need the connection between the 2 networks, because of one side (location b) there are 2 license server installed for different software (SolidWorks, Traub, Festo FluidSim, etc...). The company doesn't have enough money to buy the same license server for the location a, now we looking for a solution of this problem.

Every network is a novell netware 6 network. The license server are windows 2003 server and windows 2000.

More information -> see Attachement/image

Sample which port and protocol the software use/on listening: 
-> SolidWorks 25734/tcp; 25744/tcp

Follow ideas we have:
1. Create a 2nd network at the Astaro of both sides
2. Create a VPN between the 2nd Networks
3. Create Portforwarding with Full-NAT
--> At the software configuration we configure then the astaro as the license server

At both astaros we have still 2 nics not configured. 

Does someone has experience about this situation or can help us with this problem/situation?

Thx 4 your help.

PS: I found a posting @ the astaro forum, but i need help to configure the astaros. https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53378


This thread was automatically locked due to age.
  • 0
    Ouch....

    No possibility to change the ip configuration?
    The idea with DNAT is ok, but I think you will run into problems building the VPN (remote net=local net)....

    Another idea:
    Is the traffic to the license servers encrypted?
    If yes, what about a DNAT rule directly on the external interface of the headquarters ASG? (without site2site-VPN)

    So you can connect your branch offices systems directly to the fixed IP of your headquarters ASG.

    Regards,
    Thomas
  • 0
    Thx 4 your answer.

    There is no chance to change the ip configuration. Because both networks are installed on a special solution.

    We thought the same - DNAT for external/public ip of the location B - but isn't it a security risk!? Over a secure connection, like a vpn (site2site), we have the control, that only the clients from location A access to the license server.

    Surely, we can define at the asg at location B a DNAT, that only the asg from location A can access. But, what happen, if someone sniff and fake the ip-adr. of location A. Would be a man-in-the-middle-attack!? Or attack the port. I don't know, how the license server reacted on this?

    Greetz =)
  • 0 in reply to MrBrown
    Sorry, but in my opinion you do not have another chance....

    Or is there the possibility to add new virtual (secondary) addresses on your servers and ASGs?

    I understand your security concerns, but without changing the internal addressing you cannot set up a clean and working VPN.....

    Th.
  • 0
    Ugly situation.  I disagree that the IPs couldn't be changed, but, apparently, someone at the customer site is stubborn. Anyway, I've never tried this, but ...

    In the Astaro where the license servers are, establish an additional address on the internal interface outside 10.1.0.0/16 for each license server.  Create a Full NAT for each license server that sends the packet to the server IP with the additional IP as the new from.  In a Site-to-Site VPN definition, use the new additional addresses as the only entries in 'Local Networks' on this side.

    On the other side, use the additional addresses as the only entries in 'Remote Networks'.  Put the actual internal IPs of the license servers as additional addresses on the Internal interface (I assume that those servers, and their IPs, don't already exist in this location).  Create DNATs for each additional address 'Internal (Network) -> Any -> [Additional address 1] : DNAT to [Additional Address 1 on first Astaro]'.

    Please let us all know if that works, or what does.

    Thanks - Bob
  • 0
    Still in progress...i give feedback, if we implemented. Thx 4 all your answers.
  • 0 in reply to MrBrown
    SO you want to build a VPN tunnel between the two 192.168.1.0/24 networks because KS02 and GS02 have to talk to each other? 

    Even if the tunnel came up (can be it would come up, have never tested), of course no routing could happen between the networks.

    So here´s the trick for the 100%-proofed-in-many-productive-scenarios-solution:

    The "real" network on both sides is 192.168.1.0/24
    Assume 10.1.1.0/24 and 10.2.2.0/24 are two networks which do not exist on any of the two sides. I will call them the "virtual" networks. Net 10.1.1.0 will be assigned to locA, net 10.2.2.0 to locB
    The VPN tunnel definitions ("local" and "remote" networks) on both sides have to contain ONLY these two virtual networks - no 192.168.1-Network may be contained on both sides! This will lead to the vpn tunnel comes up without any problems.

    Now also the routing is just clear: if someone from location1 (the "client") wants to initiate a connection to location2 (a "server"), there must be
    1) an SNAT rule in locA
    2) a DNAT rule in locB


    Example:
    Client 192.168.1.2 in locA (GS02) wants to make a connection to server 192.168.1.2  in locB (KS02)
    1) locA- SNAT rule: src:192.168.1.2 dst:10.2.2.0/24 new src: 10.1.1.2 (for example)
    2) locB-DNAT-rule: src: 10.1.1.2 dst:10.2.2.2 new dst:192.168.1.2

    So, the "client" in locA has to contact the "server" with the "virtual-server-ip" 10.2.2.2. The packet goes from client to ASG-A, which will SNAT the clients IP (192.168.1.2) to the "virtual-client-ip" 10.1.1.2 and - as this packet matches now the tunnel definition - send it via the VPN to the remote side. The gateway there (asgB) will DNAT the packet to the real servers ip 192.168.1.2 on the location B side
    The reverse packet will be natted vice versa.

    If there are also connections which are initiated from locB to locA (i.e. from KS02 to GS02), you additionaly have to do the same but the SNAT must be on ASG in locB and the DNAT on ASG in locA
  • 0 in reply to Ölm
    Thanks for a great explenation Öst. 
    I have another question.
    Is it possible to do some kind of snat with a whole subnet?
    I have tried in astaro under SNAT but its not possible to choose network under "Source" option. 
    If we take your example and modify it to whole networks:
    locA- SNAT rule: src:192.168.1.0 dst:10.2.2.0/24 new src: 10.1.1.0 (for example)
  • 0
    no, this isn´t possible with ASG v7.x - neither via WebAdmin nor via a command line trick or so.
    You would have to creat 255 individual SNAT rules.
    Depending on how quick you can type and move the mouse, it will need something between 2 and 4 hours...

    use the feature request portal to vote for that feature:
    Networking: 1-to-1 NAT
  • 0 in reply to Ölm
    no, this isn´t possible with ASG v7.x - neither via WebAdmin nor via a command line trick or so.
    You would have to creat 255 individual SNAT rules.
    Depending on how quick you can type and move the mouse, it will need something between 2 and 4 hours...

    use the feature request portal to vote for that feature:
    Networking: 1-to-1 NAT



    Remember the new ''Clone Object'' button introduced in v7.500. It will reduce drastically the estimated time. Hehe [:D]
  • 0
    Ok, I think I will upgrade to v7.500 first then [:)]. Thanks for you replies.