IPsec Verbhindung mit mehrern "Partnern"

**Rumak18** · 02.03.2011, 14:26

Hallo,

wir haben hier eine Astaro Firewall und bauen mehrere IPSec Verbindungen mit verschiedenen Partnern auf.
Nun bin ich auf den Fall getroffen, bei dem ein Partner die gleiche Netzwerkadresse hat, wie ein anderer Partner. Dies brachte gleich ein Problem mit sich, weil der Samba Dienst, der durch die Tunnel freigeschalten ist, nicht funktioniert, obwohl die IPSec Dienste noch alle da waren.
Kann mir Jemand vielleicht erläutern, wie Ihr das bei euch macht oder ob Jemand mit solchen Fällen schon Erfahrung gemacht hat?

**linux-luder** · 02.03.2011, 15:41

Du kriegts halt ein Problem mit dem Routing wenn es 2 gleiche Subnetze gibt.
Hast Du da alles per NAT oder "richtige" Netze?
Ist es hinten dran ein Geraet oder ein Netz?

**Joerg** · 02.03.2011, 21:32

Muss mal schauen, wie wir das mit Cisco Geräten gelöst haben, aber eines ist sicher. Es ist möglich.
Evtl. kannst Du das dann auf die Astaro übertragen...

**Rumak18** · 03.03.2011, 09:30

Du kriegts halt ein Problem mit dem Routing wenn es 2 gleiche Subnetze gibt.

Ja...genau deswegen schreibe ich hier ja

Hast Du da alles per NAT oder "richtige" Netze?

Auf meiner Seite sind es richtige Netze.

Ist es hinten dran ein Geraet oder ein Netz?

"Hinten" ist eine ext. IP, bei der ein internes Netzwerk vorliegt (Einen Host selber kann ich aber auch angeben).

Muss mal schauen, wie wir das mit Cisco Geräten gelöst haben, aber eines ist sicher. Es ist möglich.
Evtl. kannst Du das dann auf die Astaro übertragen...

Das wäre klasse.

**linux-luder** · 03.03.2011, 11:18

Die Frage mit "richtig Netze" ziehe ich natuerlich zurueck, die duerfte es ja dann nur einmal geben ;-)

Braucht Ihr auf beiden Seiten das volle Subnetz?
Man koennte es ja kleiner machen, z.B.
10.10.10.0/255.255.255.192 (Broadcast 63)
10.10.10.64/255.255.255.192 (Broadcast 127)
und dann eine Route eintragen.

Ideen gibt es einige, hab im Moment aber keine Zeit das selber mal duchzuspielen.

**Rumak18** · 08.03.2011, 12:45

Also in meiner Umgebung gab es folgende Lösung:
Auf der Seite des Netzes, welches doppelt vorkommt, eine SNAT Regel kreieren, die den gewünschten Traffic vom internen Netz auf ein "Dummy" Netz nattet. Dieses Dummy Netz muss dann natürlich auf "meiner" Seite ebenfalls in den IPSec Einstellungen gesetzt werden. Dies klappt wunderbar, wenn man nur von einer Seite aus zugreift, was bei mir der Fall ist.