Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1678 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN between two sites with the same logical network

sunnyflo
Hello Guys,

I've got a little problem. A customer bought an ASG 220. Now he wants a VPN to an other site. I want to create a IPSEC VPN.  The problem is: both sites have the same logical network, same ip range. 
I know i must work with the NAT or Masquerading function, otherwise the ip packets wont arrive at astaro. But i dont know how. 

Have you an ideas how to implement this vpn ??? [:S]

Greetings from Germany

Florian


This thread was automatically locked due to age.
  • 0
    You have to make a nat for each host you want to find in the remote network, is impossible to nat all the network to the other.

    Example:
    your both lan side is: 192.168.1.0/24

    you have to make the Site to Site vpn use two different "remote network", for example 10.0.0.0/24 (ASG1) and 11.0.0.0/24 (ASG2).

    create an additional address in each asg with the address mentioned, in our case:
    ASG1: 10.0.0.254/24
    ASG2: 11.0.0.0.254/24

    All you have to do now is to set a nat for each host you want to recognize.

    For example if you have a web server behind the ASG1 with real ip 192.168.1.10 create a Full nat that say: 

    Traffic source: 11.0.0.0/24
    Traffic Service: http
    Traffic Destination: 10.0.0.10 (this is the fake address)
    nat mode: full nat
    destination: 192.168.1.10 (the real ip of the server)
    destination services: leave blank
    Source: 10.0.0.254 (this is the additional address of the asg)
    Source service: leave blank

    With this configuration i think it works fine [:)]

    ps: You can't use strict routing in the ip sec site to site, uncheck the box
  • 0 in reply to nethole
    Nethole, that looks like it should do the trick.  I wonder if instead of full NAT, one couldn't just use a single SNAT on each end for everything.  One would still need to have an additional address on the Internal interface of each side that was in a unique subnet.  For example, with 10.0.0.0/24 on each side, add 10.0.1.1 to one ASG and 10.0.2.1 to the other.

    Traffic source: VPN Pool (IPSec)
    Traffic Service: Any
    Traffic Destination: Internal (Network)
    nat mode: SNAT
    Source: Internal (Address)
    Source service: leave blank

    Of course, Florian, we all know that the right answer is for the customer to change the subnets of his different offices.  I'm not sure that would make you a friend of their IT staff though, since this is a pretty embarrassing mistake on their part.

    Cheers - Bob
  • 0
    Hi Guys,

    thanks for your answers. i speak with the customer. now there is another, 'little' problem. they've cloned their domain controllers and servers and started them at the new office. the original servers are running also. So, they will get nice errors if they try to connect from one to another.  We are now searching for another way to connect.

    Again, thanks for your help

    Greetings from Germany

    Florian
  • 0 in reply to sunnyflo
    Cloned?  Of course, they own separate licenses for each... right? (rhetorical question only)

    It sounds like your customer should have hired you earlier.  I hate it when I have to tiptoe around politics when someone has done a bunch of ignorant things.  Good luck!
  • 0 in reply to BAlfson
    Balfson, i don't know if can work with only one snat, i'll try this week end to give you the answer. 

    Coming back to what i have written, i think that can work olso with a snat, if i remember well in an installation i have used the Full nat to make the host behind the ASG1 reachable from an ssl remote access of the ASG2.