Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2437 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC & NAT

okuepfer
Hello everybody,

here a tricky Question! I was reading almost everything I found, and guess what I don't know if it is working now, or not.

I have the following Problem. 2 Site's, with same IP-Address Ranges. On both Site's more then 200 Host's. And I have to connect them now trough a VPN Tunnel. Not All Services have to be seen on the other side, but a selected List, musst be availble.

Example: 

Server A  -> Astaro NAT  -> Astaro VPN -> Cisco VPN -> Client B
10.1.3.100 -> 10.2.50.100 -> PublicIP   -> Public IP -> 10.1.3.12

What I like to do, is to NAT Server A, so that Client B can Access Server A, at it's Nated Address 10.2.50.100. Will this ever work, and when, how?

I know, that there are many Issues with IPSec and NAT. There was a lot writhing about IPSec and passtrough. Some mentioned it has to work in another situation. Im working on this, but could not get it running.

Oli


This thread was automatically locked due to age.
  • 0
    From my knowledge, your setup will not work. 
    You can not do NAT for a subnet and IPSEC for the NATed address range on the same computer. IPSEC expects to have the subnet in its configuration either visible on one of its NICs or defined and reachable by a static route. But the address translation happens only on the box itself and I have not found a way yet to define a route to an ipsec device (at least, using the GUI). The problem is similar to what I have and I had no luck so far in testing as well as getting positive responses on my question.

    I don't think you can really avoid reassigning new addreses to one of your subnets. The headaches will grow with the demands of the users.
  • 0 in reply to MSz
    Sad, that's what I expected to hear. However, you can fix it with a additional Device which does NAT in front of the privat interface of your Firewall/VPN Device. However, I hope to get this fixed in one Box. Anyone else?
  • 0 in reply to okuepfer
    Hi okuepfer...
    Thought about NATting on the Cisco side ???
    Just an unperformed idea...

    Pedro
  • 0 in reply to Pedro_01
    Pedro's suggestion is most likely the easiest and most correct way.  Your Cisco box, is it perchance a VPN concentrator or a router.  Both with do NATing very nicely on there internal addresses.

    Jim

    MCSE (NT/2k) CCNA
    "It's not always what you know, but who..."