IPSec richtig NATten?!?

Started by superwinni2, June 24, 2019, 03:10:26 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 24, 2019, 03:10:26 PM
Hallo zusammen


bräuchte mal etwas Hilfe bezüglich dem NATten von IPSec Verbindungen wenn auf beiden Seiten der gleiche Netzbereich benutzt wird.
Ein Dienstleister muss auf 2 verschiedene System von uns kommen. Diese haben die IP 10.10.10.5 und 10.10.10.11


Nun hat uns der Dienstleister gebeten dies dementsprechend auf den Netzbereich 172.19.15.0/24 zu NATten.
Der Netzbereich des Dienstleisters ist: 10.21.0.0/16
Wie mache ich dies? Habe bereits schon etwas rumgespielt... Hat aber leider nichts zum Erfolg gebracht  :-\


Der IPsec Phase1 Tunnel steht.
Nat Traversal ist aktuell beim Phase1 auf "disable".. Muss man das ändern!?!


Bei Phase 2 habe ich folgendes eingetragen:


Local Network: Network       172.19.15.0/24
Remote Network: Network          10.21.0.0/16
Verschlüsselungen sind ebenfalls richtig eingestellt.

Ich sehe in "Status Overview" dass auf der Verbindung Bytes reinkommen. Aber nichts rausgeht.


Die Anleitung bezüglich dem 1:1 NAT habe ich gesehen, aber nciht so recht versanden.. Daher hier meine Frage...
Danke schonmals für die Hilfe.
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
June 24, 2019, 05:04:43 PM #1
Hey, die Frage ist auf welcher Seite soll es zum SNAT kommen.
Kannst du das besser beschreiben?

Gruß
Matze
June 24, 2019, 05:08:54 PM #2
Wie meinst du besser beschreiben?


Es soll sozusagen auf meiner Seite geNATtet werden...
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
June 25, 2019, 07:55:09 AM #3 Last Edit: June 25, 2019, 07:58:04 AM by matzeeg3
Also willst du folgendes:
Local Site         Nat Network                   Remote Site
10.10.10.0/24    172.16.15.0/24             10.21.0.0/16
Sodass, alles was der DL machen will bei euch genattet ankommt?
June 25, 2019, 09:37:20 AM #4
Also ich habe es nun hinbekommen...
Der tolle Mitarbeiter vom DL hat mir (gestern) erstmal nen falsches Netzwerk (in Phase2) durchgegeben und dann noch darauf beharrt.
Heute erneut angerufen und mit jemand anderem gesprochen, die richtigen IPs eingetragen und zack... Alles läuft.
Was habe ich in den NAT einstellungen eingetragen:
Code Select

Interface: IPsec
Type: BINAT
External IP:    172.16.15.0 /24
Internal IP:    10.10.10.0  /24
Destination IP: 10.21.80.0  /24  (Hier findet man nun auch den Fehler... Das Richtige Netz war 10.21.80.0/24 )
NAT reflection: Disable



PS. Firewallregeln nicht vergessen ;)
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
June 28, 2019, 11:41:54 AM #5
> Heute erneut angerufen und mit jemand anderem gesprochen, die richtigen IPs eingetragen und zack... Alles läuft.

Mein Beileid. Hatte ich erst letzte Woche mit einem Mitarbeiter der Telesec/Telekom - gruselig. "Joa mei, mia ham da AES-GCM und die IP die basst joa au..." - ja nix passt. IP war dann plötzlich was ganz anderes (also komplett anders, nicht nur falsch gehört) und GCM... ja alles was über AES-CBC rausgeht scheint selbst 2019 noch in vielen "Experten Geräten" von "namenhaften Herstellern" graue Theorie zu sein. Peinlich wenn sich Strongswan dann im Log meldet mit "angebotene Cipher: x, y, z" und dabei kein einziger GCM dabei ist obwohl der Mitarbeiter doch explizit das konfiguriert hat... Ts ts... :D
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions