Show Posts
1
German - Deutsch / Nat vor IPsec mit Outbound Nat statt 1:1 Nat möglich?
« on: February 26, 2019, 11:23:46 pm »
Hallo,
nachdem ich viele Beschreibungen und Lösungen zu "Nat vor IPsec" gelesen habe ist die Lösung
für mich irgendwie nicht dabei.
Bei ca. 30 Kunden IPSEC Verbindungen ergeben sich natürlich Forderungen das man die Verbindung sowohl
sicher macht (IPsec) als auch das man im Kundennetzwerk mit einer public IP auftaucht.
Die Forderung also:
Das absendene Netzwerk:
10.1.x.y/16 (NAT/Masqerade) zu "EINER" public IP
dann die Verbindung:
Die public IP in einen IPsec Tunnel
Alles was ich lese nutzt immer das 1:1 NAT, aber soviele offizille IP's hat man ja nicht, bei 1:1 Nat
muss ja die Subnetzmaske identisch sein.
Meine Versuche mit dem "Outbound Nat", es wird zwar durchgeführt aber die Pakete landen nicht
im IPsec, tcpdump sagt sie gehen auf das normale Wan Interface ....
Gibt es eine Lösung, ausser es mit 2 hintereinander stehenden Firewalls zu machen, die erste für's Nat
und die 2. für den Tunnel?
Danke
Thorty
nachdem ich viele Beschreibungen und Lösungen zu "Nat vor IPsec" gelesen habe ist die Lösung
für mich irgendwie nicht dabei.
Bei ca. 30 Kunden IPSEC Verbindungen ergeben sich natürlich Forderungen das man die Verbindung sowohl
sicher macht (IPsec) als auch das man im Kundennetzwerk mit einer public IP auftaucht.
Die Forderung also:
Das absendene Netzwerk:
10.1.x.y/16 (NAT/Masqerade) zu "EINER" public IP
dann die Verbindung:
Die public IP in einen IPsec Tunnel
Alles was ich lese nutzt immer das 1:1 NAT, aber soviele offizille IP's hat man ja nicht, bei 1:1 Nat
muss ja die Subnetzmaske identisch sein.
Meine Versuche mit dem "Outbound Nat", es wird zwar durchgeführt aber die Pakete landen nicht
im IPsec, tcpdump sagt sie gehen auf das normale Wan Interface ....
Gibt es eine Lösung, ausser es mit 2 hintereinander stehenden Firewalls zu machen, die erste für's Nat
und die 2. für den Tunnel?
Danke
Thorty