NATten von kompletten Subnetzen mit NETMAP
Sollten auf beiden Seiten einer VPN Verbindung die selben Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.
Mit dem NAT-Typ NETMAP und auf beiden Seiten nicht existierende Netzwerke können sie diese Verbindung trotzdem erstellen, ohne auf eine der beiden Seiten das Subnetz komplett zu ändern.
Vorbereitungen
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
- Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben
- Alle beteiligten Objekte müssen einen definierten IP-Adressbereich eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.
Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor Adresse aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172..16.3.0/24.
Netzwerkobjekte erstellen
Erstellen Sie zwei Netzwerkobjekte mit Netzwerken, die weder auf der einen noch auf der anderen Seite der VPN Verbindung vorhanden sind.
Das Netzwerkobjekt für das Mapnetz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.
Das Netzwerkobjekt für das Mapnetz auf der lokalen Seite muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.
NETMAP Regel anlegen
Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an.
Quelle: Internes Netzwerk Ziel: Mapnetz der VPN-Gegenstelle Dienst: Ist hier nicht relevant, nehmen Sie einfach den icmp-echo-req NAT-Typ: NETMAP NAT-Netzwerkobjekt: Mapnetz der lokalen Seite