VPN mit kollidierenden IP Ranges

Samuel Heinrich

 

Ein altbekanntes Problem. Zu vernetzen sind zwei Standorte, welche den selben IP Range nutzen:

 

The Problem:

 

The nice and and „easy“ way:

Einer der Standorte wechselt seinen IP Range

 

„Easy“ sei hier man bewusst in Hochkommas gestellt, denn ich spreche lediglich aus der Sicht eines Network Engineers, mir ist jedoch bewusst, dass ein Wechsel eines bestehenden IP Ranges aus Client/Server Sicht sehr umständlich sein kann. Niemand wechselt wohl gerne die IP eines DC’s.

 

Solution 2 – The NAT Way 

Einer oder beide Standorte gaukeln dem anderen einen fiktiven IP Range vor.

Die beiden Varianten im im Detail:

Simple NAT (unidirektional):

 

Die Firewall auf Seite A richtet ein NAT ein, welches die das Netz 192.168.10.0/24 in 10.10.10.0/24 übersetzt, der Tunnel wird somit folgendermassen aufgebaut:

(192.168.10.0/24) <-nat-> 10.10.10.0/24<->192.168.10.0/24

Das Problem ist allerdings nicht ganz gelöst. Traffic kann nur auf eine Seite iniziert werden. 

 

Double NAT (Bidirektional):

Double NAT ist der beste, wenn auch aufwändigste Weg.  Hier gaukeln beide Firewalls dem gegenüber einen fiktiven IP Range vor.  

(192.168.10.0/24) <-nat-> 10.10.10.0/24<->10.10.11.0/24 <-nat-> (192.168.10.0/24)

 

 

Gerne möchte ich an dieser stelle auf einen guten Artikel eines anderen Blogs verweisen, der mit diesem Thema noch etwas tiefer ins Detail geht (Konfiguration auf einer ASA):

http://www.packetu.com/2012/01/02/asa-vpn-with-address-overlap/#eighttwo

 

 

 

 

Samuel Heinrich
Senior Network Engineer at Selution AG (Switzerland)
Arbeitet in Raum Basel (Switzerland) als Senior Network Engineer mit über 15 Jahren Erfahrung im Bereich Netzwerk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.