- Layoutanpassung
- Screenshots aktualisiert
Einleitung
In diesem Wiki wollen wir den Fall behandeln, wenn ein Roadwarrior gleichzeitig eine VPN Verbindung zu verschiedenen Zielen aufbaut, die aber jeweils das gleiche Subnetz verwenden. Weiterhin bekommt der VPN-Client auch noch eine Adresse aus dem gleichen Roadwarrior Pool von den VPN-Servern. In diesem Fall hätte der Client natürlich das Problem, dass er nicht zwischen den Zielen unterscheiden kann.
Hierbei kann der NAT-Typ NETMAP Abhilfe schaffen.
In unserem Beispiel nehmen wir die folgenden Vorgaben an:
Roadwarrior Pool: | 192.168.0.0/24 |
Internes Netz der Standorte: | 192.168.175.0/24 |
Netmap-Netz des ersten Standort: | 192.168.1.0/24 |
Netmap-Netz des zweiten Standort: | 192.168.2.0/24 |
Weiterhin gehen wir davon aus, dass die SSL-VPN Roadwarrior Verbindung bereits eingerichtet ist und funktioniert.
Konfiguration des SSL-VPN Roadwarriorserver mit Netmap
Vorbereitungen
Einstellung im SSL-VPN Server
Netzwerkobjekte erstellen
Neben dem vorhandenen Netzwerkobjekt für den Roadwarrior wird ein weiteres für das Netmap-Netz mit den folgenden Eigenschaften benötigt, um eine entsprechende Paketfilterregel zu erstellen:
Paketfilterregeln
Die Übersicht der Paketfilter sollte nun folgende Zeilen enthalten:
# | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
5 | Roadwarrior | internal-network | ms-rdp | Accept | Ein | ||||
6 | internal-network | Roadwarrior | any | NM | Accept | Ein | |||
Hinweise
Der VPN Client muss die Verbindung neu aufbauen, damit dieser auch das korrekte Subnetz übermittelt bekommt.
Der Zugriff vom Client auf einen Host im internen Netzwerk erfolgt dann über die IP-Adresse 192.168.2.x, da hier die Subnetzmaske /24 definiert wurde. Das letzte Oktett ist also die Original Host-IP.
Wenn wir in diesem Beispiel also den Host mit der Original IP-Adresse 192.168.0.1 ansprechen möchten, muss der Client die IP-Adresse 192.168.2.1 verwenden um diesen zu erreichen.
Der Client kann hier nur mit IP-Adressen auf die Hosts im internen Netzwerk zugreifen. Eine DNS Abfrage würde zur Folge haben, dass die Original IP des Hosts übertragen werden würde und darüber ist dieser vom Client nicht mehr erreichbar.