Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 410 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site, same network on each side, How2do?

Smartboy
Hi!

I want to connect 2 internal networks (both! 192.168.0.0/24) behind ASL 5.1 on each side via IPSec.
My idea to do this was to add an internal interface to both ASL, so that I get
ASL1 internal 192.168.0.0/24 + vpn1 192.168.10.0/25
ASL2 internal 192.168.0.0/24 + vpn2 192.168.10.128/25

Now I was able to set up vpn. I can see the vpn tunnel in "IPSec VPN>Connections>VPN Routes":
0          192.168.10.0/25:0  -> 192.168.10.128/25:0 => tun0x1002@195.xx.xx.xx:0
But when I try to ping one side from the other it doesn't work.
Do I have to set up some kind of routing/SNAT/DNAT?

thanks

Smartboy


This thread was automatically locked due to age.
  • 0
    I don't think this is possible to do with a standard ASL configuration.
    ASL is a layer 3 and above firewall (correct me if I'm wrong) and for layer 3 some basic principles as routing applies. This means that you can't interconnect 2 networks with the same IP netID. It would be like having 2 streets with the same name in a town. How to send a letter to the correct address?

    Solution:
     - Use different network IDs 192.168.0.0/24 and 192.168.1.0/24 for example
    - Use a bridging based firewall.

    Bridging based firewall is quite new (if I'm not mistaken you need kernel 2.6 or a patched 2.4 kernel), ie. not widely implemented.
    google for ebtable and/or arptables

    Regards,

    Christophe
  • 0
    Rename at least one of your private network segments, preferably both. The RFC 1918 document allocates 256 consecutive class "C" networks in the 192.168 address range for private use. In other words, you can use any net number from 192.168.0.xx to 192.168.255.xx.

    If you develop the practice of always using a different 2 digit number in the third octet of the 192.168 series subnets that you create, you will never again be faced with the problem of having the same subnet number reused in two different locations.

    For IP routing to work, the network numbers used for each of the routed segments must be different from each other.
Cookie Information Banner