Hallo Lieber User und freunde des guten Betriebssystems,
vermutlich ist meine frage schon gesplittet mehrfach gestellt worden. Konnte aber nichts richtiges finden.
Ich erzähl euch erstmal worum es geht.
Die Stonegate VPN Boxen machen unterein ander nicht nur VPN Tunnel sondern schicken Ihre Log Daten an einen Management Server. Von dem bekommen Sie, nach einer initial Verbindung, Ihre Konfiguration. Man Konfiguriert alles am Management Server und gibt der Box nur seine IP nach draussen mit GW+Authentifactions Daten und die IP des Management Servers. Dann kann man das Ding wegschicken und der empfänger braucht es nur verkabeln und einschalten.
Dann steht der Tunnel oder die Tunnel. Als Background müsste das , denke ich, reichen.
Der Management Server steht aus Sicherheitstechnischen Gründen im LAN. So dass dort die Haupt VPN Box ein Dnat und ein Snat macht, weil die Boxen draussen ihn unter einer Offizielen IP kennen. Die Boxen draussen haben auch alle ein Offiziele IP ( Öffentliche ), daher stellt diese konstellation kein Problem dar und funzt sogar.
Aber,
Einer dieser VPN Boxen soll draussen selber hinter einem NAT stehen, dass heisst, das zwischen dier Box und dem Management Server zwei NAT's sind.
Wie gesagt die eine NAT, die die Zentral Box selber ist, funktioniert super.
Ich habe das VPN Netzwerk mal nachgebaut. Als Router zwischen den einzelnen Boxen, also den ISP netzen, habe ich einfach nur ne Linux kiste dir IP Weiterleitung macht. Der VPN Tunnel zwischen den Boxen funktioniert gut und haben auch alle Verbindung zum Management Server.
Nun weiss ich nicht wie ich das NAT machen soll, wo die eine BOX hinterstehen soll.
Ich vermute mal das ich DNAT bzw auch SNAT machen muss.
Habe daher einen SuSe 9.1 kiste aufgesetzt.
eth0 hat die öffentliche IP und eth0 die Interne IP, wo auch die Box angeschlossen werden soll.
1.
Alles was an eth0 ankommt soll an eine interne IP über die eth1 an die Box mit der internen IP gehen. Schön wäre es auch wenn ich erfahren würde wich ich es auf einzelne Port eingrenzen kann.
2.
Alle was von der Box rausgeht soll die öffentlich IP des NAT's bekommen. Auch hier wäre es schön zu wissen wie die Ports ein zu grenzen sind.
3.
Muss eventuell noch was am NAT vor dem Management Server gemacht werden.
Acho noch ein Hinweis. Ich kann dem Management Server sagen, dass er eine andere IP für den Kontakt ( öffentliche IP des NAT ) nehmen soll als die Reale IP.
Die Sache ist die, das ich NAT nutzen muss, weil es leider anders nicht geht.
Auch der VPN Tunnel muss durchs NAT. Das geht unter der Vorraussetzung das der Header nicht extra Verschlüsselt wird ( also kein AH+ESP sondern nur ESP ).
Ihr seit meine letzte Hoffnung, ich hoffe ihr könnte helfen.
LG
mirki
vermutlich ist meine frage schon gesplittet mehrfach gestellt worden. Konnte aber nichts richtiges finden.
Ich erzähl euch erstmal worum es geht.
Die Stonegate VPN Boxen machen unterein ander nicht nur VPN Tunnel sondern schicken Ihre Log Daten an einen Management Server. Von dem bekommen Sie, nach einer initial Verbindung, Ihre Konfiguration. Man Konfiguriert alles am Management Server und gibt der Box nur seine IP nach draussen mit GW+Authentifactions Daten und die IP des Management Servers. Dann kann man das Ding wegschicken und der empfänger braucht es nur verkabeln und einschalten.
Dann steht der Tunnel oder die Tunnel. Als Background müsste das , denke ich, reichen.
Der Management Server steht aus Sicherheitstechnischen Gründen im LAN. So dass dort die Haupt VPN Box ein Dnat und ein Snat macht, weil die Boxen draussen ihn unter einer Offizielen IP kennen. Die Boxen draussen haben auch alle ein Offiziele IP ( Öffentliche ), daher stellt diese konstellation kein Problem dar und funzt sogar.
Aber,
Einer dieser VPN Boxen soll draussen selber hinter einem NAT stehen, dass heisst, das zwischen dier Box und dem Management Server zwei NAT's sind.
Wie gesagt die eine NAT, die die Zentral Box selber ist, funktioniert super.
Ich habe das VPN Netzwerk mal nachgebaut. Als Router zwischen den einzelnen Boxen, also den ISP netzen, habe ich einfach nur ne Linux kiste dir IP Weiterleitung macht. Der VPN Tunnel zwischen den Boxen funktioniert gut und haben auch alle Verbindung zum Management Server.
Nun weiss ich nicht wie ich das NAT machen soll, wo die eine BOX hinterstehen soll.
Ich vermute mal das ich DNAT bzw auch SNAT machen muss.
Habe daher einen SuSe 9.1 kiste aufgesetzt.
eth0 hat die öffentliche IP und eth0 die Interne IP, wo auch die Box angeschlossen werden soll.
1.
Alles was an eth0 ankommt soll an eine interne IP über die eth1 an die Box mit der internen IP gehen. Schön wäre es auch wenn ich erfahren würde wich ich es auf einzelne Port eingrenzen kann.
2.
Alle was von der Box rausgeht soll die öffentlich IP des NAT's bekommen. Auch hier wäre es schön zu wissen wie die Ports ein zu grenzen sind.
3.
Muss eventuell noch was am NAT vor dem Management Server gemacht werden.
Acho noch ein Hinweis. Ich kann dem Management Server sagen, dass er eine andere IP für den Kontakt ( öffentliche IP des NAT ) nehmen soll als die Reale IP.
Die Sache ist die, das ich NAT nutzen muss, weil es leider anders nicht geht.
Auch der VPN Tunnel muss durchs NAT. Das geht unter der Vorraussetzung das der Header nicht extra Verschlüsselt wird ( also kein AH+ESP sondern nur ESP ).
Ihr seit meine letzte Hoffnung, ich hoffe ihr könnte helfen.
LG
mirki