Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

If I have conflicting subnets in a VPN...

pohhgy
I have the latest version of Astaro running and the internal network is 192.168.90.x

I want to create an IPSEC tunnel to another network that sits behind a Checkpoint NGX device where the remote subnet is also 192.168.90.x.

What can I do to avoid address conflict?  Is there a way I can do something like a static one-to-one NAT mapping of both the local and remote addresses?  

Also what if a home user also has a 192.168.90.x address and connects remotely to the Astaro network?  Will there also be a conflict?


This thread was automatically locked due to age.
  • 0
    As I'm sure you know, any time there's a duplicated IP, there's a problem.

    The right answer is to change your addressing scheme. I usually like to reserve 192.168.0.0/16 addresses for home users.  For most businesses, I prefer 172.16.0.0/12 addresses.  Maybe, for a really giant, worldwide business with its own, dedicated connections, 10.0.0.0/8 makes sense - I wish I had a customer like that!

    There is no 1-to-1 NAT in Astaro as of yet, although I think it's slated for V8.3 which we hope to see early next year.

    Ölm gave a very elegant solution for your problem last year.

    Cheers - Bob
  • 0 in reply to BAlfson
    As I'm sure you know, any time there's a duplicated IP, there's a problem.

    The right answer is to change your addressing scheme. I usually like to reserve 192.168.0.0/16 addresses for home users.  For most businesses, I prefer 172.16.0.0/12 addresses.  Maybe, for a really giant, worldwide business with its own, dedicated connections, 10.0.0.0/8 makes sense - I wish I had a customer like that!

    There is no 1-to-1 NAT in Astaro as of yet, although I think it's slated for V8.3 which we hope to see early next year.

    Ölm gave a very elegant solution for your problem last year.

    Cheers - Bob


    Thanks, I followed Olm's instruction and was actually able to get a particular host in Location A to ping a host in Location B.  However, when I tried to ping the other way, the packets get dropped.  The Checkpoint log show that it didn't know how to encrypt the packet because the VPN peer was not found.  Strange considering that location B does have a rule that states:

    Host B -> NATRangeLocA translates to NATHostB -> Original
  • 0
    Host B -> NATRangeLocA translates to NATHostB -> Original


    I'm not sure what you're saying with that, but it looks like you're saying you're only translating the destination IP.  If that's the case, then the ping is going through, but the device sends an answer inside LocA, not to its default gateway (the Astaro).  If you want to ping from LocB, you need the same setup there as Ölm suggested in LocA.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob,  I changed it a little and now I am able to ping back and forth at both sides.  The only issue now is how to get Host A packets to route correctly through Host Site B and into a third network called Host Site C (which is on a totally different IP and does not conflict with anyone)  ?  

    Host Site C is connected to the backend of Host Site B by a leased connection.  The internal interface of the router that terminates that connection sits directly on Host B's network.    

    Usually routing of traffic works when you traverse a network between two private connections.   For example, Host Site C will NAT an address at Host site A on its router.  Then it can send it through Host Site B over the dedicated connection.  Host Site B already has a VPN with Host Site A and thus it will pass it along. 

    In this case however, both A and B are completely virtualized and seem to pose a problem.  Adding a static route on the Astaro didn't seem to help either.  What can be done?
  • 0
    Do I understand correctly that you have the following and that you want devices in Site A to be able to communicate with devices in Site C?

    {Site A LAN}>AstaroCheckPoint{Site C LAN}



    In the VPN definition, you need to have {Site B LAN} and {Site C LAN} in 'Remote Networks' for the Astaro, and indicated as local networks in the Checkpoint.  Also in the Checkpoint, you need a gateway route to the Router for traffic destined for {Site C LAN}.  (I trust you have a different subnet for the Site C LAN. [;)])

    Does that do what you want?

    Cheers - Bob