Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4351 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

If I have conflicting subnets in a VPN...

pohhgy
I have the latest version of Astaro running and the internal network is 192.168.90.x

I want to create an IPSEC tunnel to another network that sits behind a Checkpoint NGX device where the remote subnet is also 192.168.90.x.

What can I do to avoid address conflict?  Is there a way I can do something like a static one-to-one NAT mapping of both the local and remote addresses?  

Also what if a home user also has a 192.168.90.x address and connects remotely to the Astaro network?  Will there also be a conflict?


This thread was automatically locked due to age.
Parents
  • 0
    As I'm sure you know, any time there's a duplicated IP, there's a problem.

    The right answer is to change your addressing scheme. I usually like to reserve 192.168.0.0/16 addresses for home users.  For most businesses, I prefer 172.16.0.0/12 addresses.  Maybe, for a really giant, worldwide business with its own, dedicated connections, 10.0.0.0/8 makes sense - I wish I had a customer like that!

    There is no 1-to-1 NAT in Astaro as of yet, although I think it's slated for V8.3 which we hope to see early next year.

    Ölm gave a very elegant solution for your problem last year.

    Cheers - Bob
  • 0 in reply to BAlfson
    As I'm sure you know, any time there's a duplicated IP, there's a problem.

    The right answer is to change your addressing scheme. I usually like to reserve 192.168.0.0/16 addresses for home users.  For most businesses, I prefer 172.16.0.0/12 addresses.  Maybe, for a really giant, worldwide business with its own, dedicated connections, 10.0.0.0/8 makes sense - I wish I had a customer like that!

    There is no 1-to-1 NAT in Astaro as of yet, although I think it's slated for V8.3 which we hope to see early next year.

    Ölm gave a very elegant solution for your problem last year.

    Cheers - Bob


    Thanks, I followed Olm's instruction and was actually able to get a particular host in Location A to ping a host in Location B.  However, when I tried to ping the other way, the packets get dropped.  The Checkpoint log show that it didn't know how to encrypt the packet because the VPN peer was not found.  Strange considering that location B does have a rule that states:

    Host B -> NATRangeLocA translates to NATHostB -> Original
Reply
  • 0 in reply to BAlfson
    As I'm sure you know, any time there's a duplicated IP, there's a problem.

    The right answer is to change your addressing scheme. I usually like to reserve 192.168.0.0/16 addresses for home users.  For most businesses, I prefer 172.16.0.0/12 addresses.  Maybe, for a really giant, worldwide business with its own, dedicated connections, 10.0.0.0/8 makes sense - I wish I had a customer like that!

    There is no 1-to-1 NAT in Astaro as of yet, although I think it's slated for V8.3 which we hope to see early next year.

    Ölm gave a very elegant solution for your problem last year.

    Cheers - Bob


    Thanks, I followed Olm's instruction and was actually able to get a particular host in Location A to ping a host in Location B.  However, when I tried to ping the other way, the packets get dropped.  The Checkpoint log show that it didn't know how to encrypt the packet because the VPN peer was not found.  Strange considering that location B does have a rule that states:

    Host B -> NATRangeLocA translates to NATHostB -> Original
Children
No Data