Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1646 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT router and IPSec site to site general questions

goetz.reinicke
Hi,

I do have to connect two astaro firewalls (one V6 and one V7) by an IPSec tunnel. The V7 is our Astaro and is located behind our primary internetgateway (an other linux firewall - the remote requests a astaro, but switching our primary system isn't the solution!).

I've configured a public IP on our primary firewall for NAT (and opend udp and tcp ports for IPSec and nat traversal) to the internal astaro V7.

Now the remote admin tells me, that the tunnel could not be established by the V6, because the VPN ID is the privat ip from the V7.

My general question: Is it possible to set up a site to site vpn by two different versions of astaros while one of them is behind a nating device?

If so, what are the basic requirements or traps?

Thanks a lot for any hints or tips. I could also give some more information.


This thread was automatically locked due to age.
Parents
  • 0
    Try to use RSA Keys for the Authentication
    No PSK or x.509 Certs!

    Medic
  • 0 in reply to medic
    Hallo,

    es ist grundsätzlich immer möglich eine V6 und eine V7 per VPN zu verbinden. In diesem speziellen Fall bin ich der Meinung, dass hier fast keine Möglichkeit besteht einen Tunnel herzustellen, da die ASTARO für VPN immer das direkte Gateway ins Internet sein muss und nicht hinter einer maskierten Adresse stehen kann. 
    Ich würde die Astaro mit einem Bein direkt ins Internet stellen (zusätzlich zur vorhandenen Firewall), damit wird die eigentliche Firewall entlastet und der Tunnel funktioniert. 
    Eine weitere Lösung, die evtl. funktionieren könnte wäre, ein weiteres öffentliches Netz als Subnetz durch die erste Firewall zur ASTARO zu routen und damit dann den Tunnel zu bauen. Hier läuft dann aber die gesamte Kommunikation durch die erste Firewall.

    Die Unterscheidung ob RSA, PSK oder anderes hat hier überhaupt nichts mit zu tun...

    Für Rückfragen stehe ich gerne weiter zur Verfügung....
Reply
  • 0 in reply to medic
    Hallo,

    es ist grundsätzlich immer möglich eine V6 und eine V7 per VPN zu verbinden. In diesem speziellen Fall bin ich der Meinung, dass hier fast keine Möglichkeit besteht einen Tunnel herzustellen, da die ASTARO für VPN immer das direkte Gateway ins Internet sein muss und nicht hinter einer maskierten Adresse stehen kann. 
    Ich würde die Astaro mit einem Bein direkt ins Internet stellen (zusätzlich zur vorhandenen Firewall), damit wird die eigentliche Firewall entlastet und der Tunnel funktioniert. 
    Eine weitere Lösung, die evtl. funktionieren könnte wäre, ein weiteres öffentliches Netz als Subnetz durch die erste Firewall zur ASTARO zu routen und damit dann den Tunnel zu bauen. Hier läuft dann aber die gesamte Kommunikation durch die erste Firewall.

    Die Unterscheidung ob RSA, PSK oder anderes hat hier überhaupt nichts mit zu tun...

    Für Rückfragen stehe ich gerne weiter zur Verfügung....
Children
No Data
Cookie Information Banner