Hallo,
ich möchte das eigene Netz für den VPN transfer zum Kunden hinter eimer Virualen IP verstecken. Der IPSec mit der Virtualen IP steht. Nun ist mein Problem die Packet in diesen virtualen Tunnel zu bekommen. Meine Idee war es diese mit HideNAt zurealiesiern. Dafür habe ich ein Netzobjekt als Host definiert mit der IP auf die Maskiert werden soll und der Host ist der Zone internal zugeordnet. Als zweites habe ich das Netzobjekt mit der IP Adreesse vom IPSecnetzwerk der Gegenstelle definiert und dann habe ich folgende Regel angelegt :
internal-network ---> IPSegeggenstelle --> Any; NAT: Hidenat Netzobjekt: Objekt mit Virtualer IP Dienst und folgende einstellungen nicht konfiguriert.
Leider bekomme ich so keine Daten durch den Tunnel.
Gruß Ove
Netz hinter Virtualer IP Verstecken
Moderator: Securepoint
FW mit den Clients:
IPSec-Config
Netzwerkobjekte (Zone "external" bei der remote-fake-ip beachten!)
Regel
FW mit dem Server:
- IPSec-Config wie oben, nur vertauscht
Netzwerkobjekte (Zone "vpn-ipsec" bei der remote-fake-ip beachten!)
Regel
Regelupdate auf beiden Geräten und dann kann das ganze Konstrukt von der Client-FW getestet werden (SSH+root):
"192.168.179.1" ist hier die tatsächliche IP der Client-Firewall.
tcpdump auf der Server-FW:
192.168.4.60 ist die "echte" IP des Servers
IPSec-Config
Netzwerkobjekte (Zone "external" bei der remote-fake-ip beachten!)
Regel
FW mit dem Server:
- IPSec-Config wie oben, nur vertauscht
Netzwerkobjekte (Zone "vpn-ipsec" bei der remote-fake-ip beachten!)
Regel
Regelupdate auf beiden Geräten und dann kann das ganze Konstrukt von der Client-FW getestet werden (SSH+root):
"192.168.179.1" ist hier die tatsächliche IP der Client-Firewall.
Code: Alles auswählen
root@gateway:~# ping -I 192.168.179.1 192.168.182.1
PING 192.168.182.1 (192.168.182.1) from 192.168.179.1 : 56(84) bytes of data.
64 bytes from 192.168.182.1: icmp_req=30 ttl=63 time=58.0 ms
64 bytes from 192.168.182.1: icmp_req=31 ttl=63 time=81.6 ms
tcpdump auf der Server-FW:
192.168.4.60 ist die "echte" IP des Servers
Code: Alles auswählen
root@mta:~# tcpdump -i eth2 -nnp host 192.168.181.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
10:11:42.870024 IP 192.168.181.1 > 192.168.4.60: ICMP echo request, id 14457, seq 30, length 64
10:11:42.870130 IP 192.168.4.60 > 192.168.181.1: ICMP echo reply, id 14457, seq 30, length 64
10:11:43.872074 IP 192.168.181.1 > 192.168.4.60: ICMP echo request, id 14457, seq 31, length 64
10:11:43.872170 IP 192.168.4.60 > 192.168.181.1: ICMP echo reply, id 14457, seq 31, length 64