Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 10195 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing the same subnet accross vpn

mrainey
ASG220 connected to branch office ASG120 via site2site vpn both on 7.511. Issue: mobile video security system installed on motor coaches wirelessly uploads to central server at ASG220 site (Site1). The coaches could be at either site on any day so full subnet needed at both sites. Site 1 was working thus: ASG220 interface at 192.168.8.2, wireless ap at 192.168.8.1, server at 192.168.8.10, demo coach at 192.168.8.12. All works as expected. Vendor says no problem to create same subnet at Site2 and connect via vpn. So at site2 ASG120, create interface at 192.168.8.3 and AP at 192.168.8.31 and add subnet to vpn. The vpn comes up and I can ping the interfaces, but of course I can no longer ping the server or ap at site 1. Can this be remedied with some static routing commands? I hope I have made this clear enough. I need data to flow from site2 to the server at site1. I need all of the PC's at site1 on other subnets to view data stored on the server.


This thread was automatically locked due to age.
Parents
  • 0
    Found this suggestion by Olm in a post by Bob Alfson that explains the DNAT/SNAT. I am not clear about the ASG interface addresses. My current security network uses an interface on the ASG220 as its gateway (192.168.8.2) so pc's from other subnets can access the stored video. So, in Olm's scenario, would I change the interface ip to some neutral address?
    Posted by Olm 2009
    SO you want to build a VPN tunnel between the two 192.168.1.0/24 networks because KS02 and GS02 have to talk to each other? 

    Even if the tunnel came up (can be it would come up, have never tested), of course no routing could happen between the networks.

    So here´s the trick for the 100%-proofed-in-many-productive-scenarios-solution:

    The "real" network on both sides is 192.168.1.0/24
    Assume 10.1.1.0/24 and 10.2.2.0/24 are two networks which do not exist on any of the two sides. I will call them the "virtual" networks. Net 10.1.1.0 will be assigned to locA, net 10.2.2.0 to locB
    The VPN tunnel definitions ("local" and "remote" networks) on both sides have to contain ONLY these two virtual networks - no 192.168.1-Network may be contained on both sides! This will lead to the vpn tunnel comes up without any problems.

    Now also the routing is just clear: if someone from location1 (the "client") wants to initiate a connection to location2 (a "server"), there must be
    1) an SNAT rule in locA
    2) a DNAT rule in locB


    Example:
    Client 192.168.1.2 in locA (GS02) wants to make a connection to server 192.168.1.2 in locB (KS02)
    1) locA- SNAT rule: src:192.168.1.2 dst:10.2.2.0/24 new src: 10.1.1.2 (for example)
    2) locB-DNAT-rule: src: 10.1.1.2 dst:10.2.2.2 new dst:192.168.1.2

    So, the "client" in locA has to contact the "server" with the "virtual-server-ip" 10.2.2.2. The packet goes from client to ASG-A, which will SNAT the clients IP (192.168.1.2) to the "virtual-client-ip" 10.1.1.2 and - as this packet matches now the tunnel definition - send it via the VPN to the remote side. The gateway there (asgB) will DNAT the packet to the real servers ip 192.168.1.2 on the location B side
    The reverse packet will be natted vice versa.

    If there are also connections which are initiated from locB to locA (i.e. from KS02 to GS02), you additionaly have to do the same but the SNAT must be on ASG in locB and the DNAT on ASG in locA
Reply
  • 0
    Found this suggestion by Olm in a post by Bob Alfson that explains the DNAT/SNAT. I am not clear about the ASG interface addresses. My current security network uses an interface on the ASG220 as its gateway (192.168.8.2) so pc's from other subnets can access the stored video. So, in Olm's scenario, would I change the interface ip to some neutral address?
    Posted by Olm 2009
    SO you want to build a VPN tunnel between the two 192.168.1.0/24 networks because KS02 and GS02 have to talk to each other? 

    Even if the tunnel came up (can be it would come up, have never tested), of course no routing could happen between the networks.

    So here´s the trick for the 100%-proofed-in-many-productive-scenarios-solution:

    The "real" network on both sides is 192.168.1.0/24
    Assume 10.1.1.0/24 and 10.2.2.0/24 are two networks which do not exist on any of the two sides. I will call them the "virtual" networks. Net 10.1.1.0 will be assigned to locA, net 10.2.2.0 to locB
    The VPN tunnel definitions ("local" and "remote" networks) on both sides have to contain ONLY these two virtual networks - no 192.168.1-Network may be contained on both sides! This will lead to the vpn tunnel comes up without any problems.

    Now also the routing is just clear: if someone from location1 (the "client") wants to initiate a connection to location2 (a "server"), there must be
    1) an SNAT rule in locA
    2) a DNAT rule in locB


    Example:
    Client 192.168.1.2 in locA (GS02) wants to make a connection to server 192.168.1.2 in locB (KS02)
    1) locA- SNAT rule: src:192.168.1.2 dst:10.2.2.0/24 new src: 10.1.1.2 (for example)
    2) locB-DNAT-rule: src: 10.1.1.2 dst:10.2.2.2 new dst:192.168.1.2

    So, the "client" in locA has to contact the "server" with the "virtual-server-ip" 10.2.2.2. The packet goes from client to ASG-A, which will SNAT the clients IP (192.168.1.2) to the "virtual-client-ip" 10.1.1.2 and - as this packet matches now the tunnel definition - send it via the VPN to the remote side. The gateway there (asgB) will DNAT the packet to the real servers ip 192.168.1.2 on the location B side
    The reverse packet will be natted vice versa.

    If there are also connections which are initiated from locB to locA (i.e. from KS02 to GS02), you additionaly have to do the same but the SNAT must be on ASG in locB and the DNAT on ASG in locA
Children
No Data