Netz hinter Virtualer IP Verstecken

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
O_Gruen
Beiträge: 56
Registriert: Mi 20.06.2007, 16:02

Netz hinter Virtualer IP Verstecken

Beitrag von O_Gruen »

Hallo,
ich möchte das eigene Netz für den VPN transfer zum Kunden hinter eimer Virualen IP verstecken. Der IPSec mit der Virtualen IP steht. Nun ist mein Problem die Packet in diesen virtualen Tunnel zu bekommen. Meine Idee war es diese mit HideNAt zurealiesiern. Dafür habe ich ein Netzobjekt als Host definiert mit der IP auf die Maskiert werden soll und der Host ist der Zone internal zugeordnet. Als zweites habe ich das Netzobjekt mit der IP Adreesse vom IPSecnetzwerk der Gegenstelle definiert und dann habe ich folgende Regel angelegt :
internal-network ---> IPSegeggenstelle --> Any; NAT: Hidenat Netzobjekt: Objekt mit Virtualer IP Dienst und folgende einstellungen nicht konfiguriert.
Leider bekomme ich so keine Daten durch den Tunnel.
Gruß Ove

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

FW mit den Clients:
IPSec-Config
Netzwerkobjekte (Zone "external" bei der remote-fake-ip beachten!)
Regel

FW mit dem Server:
- IPSec-Config wie oben, nur vertauscht
Netzwerkobjekte (Zone "vpn-ipsec" bei der remote-fake-ip beachten!)
Regel

Regelupdate auf beiden Geräten und dann kann das ganze Konstrukt von der Client-FW getestet werden (SSH+root):
"192.168.179.1" ist hier die tatsächliche IP der Client-Firewall.

Code: Alles auswählen

root@gateway:~# ping -I 192.168.179.1 192.168.182.1
PING 192.168.182.1 (192.168.182.1) from 192.168.179.1 : 56(84) bytes of data.
64 bytes from 192.168.182.1: icmp_req=30 ttl=63 time=58.0 ms
64 bytes from 192.168.182.1: icmp_req=31 ttl=63 time=81.6 ms

tcpdump auf der Server-FW:
192.168.4.60 ist die "echte" IP des Servers

Code: Alles auswählen

root@mta:~# tcpdump -i eth2 -nnp host 192.168.181.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
10:11:42.870024 IP 192.168.181.1 > 192.168.4.60: ICMP echo request, id 14457, seq 30, length 64
10:11:42.870130 IP 192.168.4.60 > 192.168.181.1: ICMP echo reply, id 14457, seq 30, length 64
10:11:43.872074 IP 192.168.181.1 > 192.168.4.60: ICMP echo request, id 14457, seq 31, length 64
10:11:43.872170 IP 192.168.4.60 > 192.168.181.1: ICMP echo reply, id 14457, seq 31, length 64

O_Gruen
Beiträge: 56
Registriert: Mi 20.06.2007, 16:02

Beitrag von O_Gruen »

Danke funktioniert!

Antworten