Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2100 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site VPN with network conflicts

erucolindo
I'm trying to set up a IPSEC tunnel between our network and a client network. Our network is 172.16.0.0/24 and there is 10.0.0.0/8. 

From our side there are no conflicts, but they already have a 172.16.0.0/24 network.

My thought, since they do not need to access our network, is to create additional addresses (172.16.50.0/24) on our network and use that to connect the tunnel. 

Now, how do I make sure that traffic from 172.16.0.0/24 to 10.0.0.0/8 goes through that tunnel, or do I have to use another solution?


This thread was automatically locked due to age.
Parents
  • 0
    Yes, you need another solution.  Their side won't understand how to route traffic back to you.  The easiest solution probably is to create an 'Additional Address', like 172.20.0.1, on the Internal interface, then create a NAT rule:

    Internal (Network) -> Any -> {network definition for their 10. network} : SNAT from {new Additional Address}
    Leave the Source Service field blank!

    The downside of this is that they will see all your traffic as coming from 172.20.0.1.  The upside is that they will be UNABLE to reach anything in your network.

    Cheers - Bob
Reply
  • 0
    Yes, you need another solution.  Their side won't understand how to route traffic back to you.  The easiest solution probably is to create an 'Additional Address', like 172.20.0.1, on the Internal interface, then create a NAT rule:

    Internal (Network) -> Any -> {network definition for their 10. network} : SNAT from {new Additional Address}
    Leave the Source Service field blank!

    The downside of this is that they will see all your traffic as coming from 172.20.0.1.  The upside is that they will be UNABLE to reach anything in your network.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Thanks for the help, it worked like a charm!

    Since I already had set up 'Additional Addresses' as 172.16.50.0/24, I used 172.16.50.1 as the source address.

    The problem wes I didn't really grasp SNAT, but I think I've got it now.

    Again, thanks for the help! [:)]