NAT bei Site-to-Site-Verbindung

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mraetz
Beiträge: 3
Registriert: Di 02.12.2014, 17:56

NAT bei Site-to-Site-Verbindung

Beitrag von mraetz »

Bei einem Kunden habe ich eine Anbindung einer Außenstelle über IPSec eingerichtet. Diese funktioniert auch.
In der Zentrale ist eine RC100 und in der Außenstelle ein schwarzer Zwerg im Einsatz.

Für einen speziellen Einsatzfall ist es nun notwendig, das Clients aus der Außenstelle eine IP aus den Adressbereich der Zentrale
nutzen. Dies wollte ich über HIDENAT auf eine fiktive Adresse aus dem IP-Bereich der Zentrale realisieren.

Konfiguration FW Zentrale

Netz Zentrale 192.168.10.0/24 internal
Server Zentrale 192.168.10.100/32 internal
Client Außenstelle 192.168.20.240/32 vpn-ipsec
Client NAT 192.168.10.240/32 internal

Regel
Client Außenstelle > Server > any HIDENAT Client NAT

Diese Regel wird auch laut LOG ausgeführt, aber auf dem Server bin ich trotzdem mit der IP der Außenstelle connected.
Wo liegt mein Denkfehler?

Gruß Manfred

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ich vermute Mal das hier die Implizierten Regeln noch aktiv sind. Diese finden Sie unter Firewall => Implitzite Regeln => IPSEC.
Mit der Accept werden die Subnetze in der Phase 2 jeweils mit ANY freigegeben. Der Haken Kein NAT für IPSec Verbindungen verhindert das Natten.

Wenn Sie nun den Haken dort entfernen müssen Sie aber die folgende Regel anlegen.
Netz Zentrale => Netz Außenstelle => Dienst => HIDENAT EXCLUDE => external interface

Gruß Björn

mraetz
Beiträge: 3
Registriert: Di 02.12.2014, 17:56

Beitrag von mraetz »

Danke für Ihre schnelle Antwort. Ich komme erst heute dazu mich weiter mit diesen Problem zu beschäftigen. Ich hätte dazu noch mal eine Nachfrage. Reicht es die impliziten Regeln nur in der Zentrale zu deaktivieren oder müssen sie auf beiden Seiten deaktiviert sein?

Gruß Manfred

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

die Zentrale reicht hier.

Gruß Björn

Antworten