Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 2577 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN with same IPs

Bard
I test this Configuration on Astaro 7.002:

Client01      Astaro01Astaro02Client02
172.16.1.10                                                               172.16.1.11


172.16.1.10172.16.1.0/24 DNAT to 10.16.2.0/24 (192.168.0.1/30192.168.0.2/30) 10.16.3.0/24  DNAT to 172.16.1.0/24172.16.1.11


Ping from 172.16.1.10 doesn't work to 172.16.1.11 (over 10.16.3.11! with DNAT rule)[:S] 
The VNP Tunnel ist testet and OK.[:)]

I think the DNAT configuration is wrong.


Second problem: DNAT/SNAT -Rule

Traffic Source: ANY
Traffic Service: ANY
Traffic Destination: 10.16.3.0/24
NAT Mode: DNAT
Destination: 172.16.1.11  Host/Network!)[:S]
Dest Service: ANY


This thread was automatically locked due to age.
  • 0
    to 1): Don't use "Strict routing" in "Edit IPSec connection" 

    Strict Routing:[/B] If strict routing is enabled, VPN routing is done according to source and destination IP address (instead of only destination IP address). In this case, only those packets exactly matching the VPN tunnel definition are routed into the VPN tunnel. As a consequence, you cannot use SNAT to add networks or hosts to the VPN tunnel, that are originally not part of the tunnel definition. On the other hand, without strict routing, you cannot have a mixed enencrypted/ encrypted setup to the same network from different source addresses.

    solution: switch off "Strict routing"!

    to 2): man iptables -> 

    In  Kernels  up  to  2.6.10 you can add several --to-destination options.  For those kernels, if you specify more than one destination address, either via an address range or multiple --to- destination options, a simple round-robin (one after another in cycle) load balancing takes place between these addresses. Later Kernels (>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges anymore.

    So only one adress / Host!
  • 0 in reply to Bard
    hello
    i have some problem to access to specific to desired scientific web site to download some paper help me in my research.
    i have username and password for this database site but not valid outside USA and tiwan.
    i wanna to use it in egypt.
    if any one have information help me to solve this please tell me 
    my mail is ( wtwm2003@yahoo.com ).
    thanks for all
    best regard
Cookie Information Banner