1:1 NAT – oder wie man gleiche Netzwerke miteinander verbindet

Wer VPN benötigt kommt zwangsläufig hin und wieder an eine Stelle, wo man nicht weiterkommt. Das ist üblicherweise dann der Fall, wenn die zu verbindenden Netzwerke den selben Netzwerkbereich haben. Oder man muss zwei Netzwerke zu einer zentralen Stelle verbinden die den gleichen Netzwerkbereich haben.

Die Lösung ist 1:1 NAT.

Zu erst etwas Theorie. NAT ist Netword Adress Translation – also die Übersetzung von Netzwerk Adressen. DNAT kennen die meisten (Destination NAT) – es wird eingesetzt um interne Dienste ins Internet freizugeben. 1:1 NAT macht das auf der Basis des kompletten Netzwerkbereiches. Man kann also beispielsweise das Netzwerk 192.168.0.0/24 als 192.168.168.0/24 ausgeben.

Das ist immer dann notwendig, wenn man mit Firewall und VPN Netzwerke verbinden will, und ein Netzwerkbereich schon einmal vorhanden ist. In diesem Fall muss man diesen Netzwerk Bereich übersetzen um darauf zugreifen zu können. Für das VPN wird dann der Transfernetzbereich angegeben und nicht das ursprüngliche Netz.

Ich gehe von diesen beiden Scenarios aus.

Scenario 1 – Netz zu Netz – beide Netze gleich (mindestens ein Netzwerk muss mit 1:1 NAT übersetzt werden):

Netz 1Netz 2
Netzwerk192.168.0.0/24192.168.0.0/24
Transfernetz (Quelle für VPN)192.168.168.0/24(optional 192.168.169.0/24)

Üblicherweise im Netz 1 wird der „echte“ IP Bereich auf ein Transfernetz übersetzt. Das Netz 2 kann dann auf Netz 1 über die Transfernetz Adressen zugreifen.

Scenario 2 – Netz (zweimal das selbe an unterschiedlichen Standorten) zu Netz (zentrale Firewall):

Netz 1Netz 2Netz 3
Netzwerk192.168.1.0/24192.168.0.0/24192.168.0.0/24
Transfernetz (Quelle für VPN) nicht notwendig (wie Netzwerk)192.168.168.0/24(optional 192.168.169.0/24)

In diesem Fall reicht es ein Netzwerk zu übersetzten – hier Netzwerk 2. Sollte Netz 1 auch gleich sein, dann muss man zwei Netzwerke übersetzen.

Bei Lancom Routern nennt man das N:N NAT und man braucht nur einen Eintrag um die Übersetzung der IP Adressen auf dem Hin- und Rück weg zu ermöglichen. Diese Einstellung wird auf dem Router vorgenommen, der für die anderen Router unter einer anderen Adresse zugreifbar sein soll.

Lancom-Binat Menu Lancom-Binat

Bei pfSense nennt man es BINAT (und es findet sich in der IPSEC Konfiguration in Phase 2):

pfsense-binat

Bei Sophos UTM ist das 1:1 NAT und es ist recht gut in diesem Artikel erklärt:

http://www.sophos.com/de-de/support/knowledgebase/115579.aspx

Leider ist es bei Sophos etwas komplizierter, da man hier beide Richtungen getrennt voneinander angeben muss.

Scenario 1:

Netz 1Netz 2
Netzwerk192.168.0.0/24192.168.0.0/24
Transfernetz192.168.168.0/24(optional 192.168.169.0/24)
Quellübersetzung (Map Source)192.168.0.0/24 zu 192.168.168.0/24(optional 192.168.0.0/24 zu 192.168.169.0/24)
Zielübersetzung (Map Destination)192.168.168.0/24 zu 192.168.0.0/24(optional 192.168.169.0/24 zu 192.168.0.0/24)

Scenario 2:

Netz 1Netz 2Netz 3
Netzwerk192.168.1.0/24192.168.0.0/24192.168.0.0/24
Transfernetznicht notwendig192.168.168.0/24(optional 192.168.169.0/24)
Quellübersetzung (Map Source)nicht notwendig192.168.0.0/24 zu 192.168.168.0/24(optional 192.168.0.0/24 zu 192.168.169.0/24)
Zielübersetzung (Map Destination)nicht notwendig192.168.168.0/24 zu 192.168.0.0/24(optional 192.168.169.0/24 zu 192.168.0.0/24)

 

Share

5 Gedanken zu „1:1 NAT – oder wie man gleiche Netzwerke miteinander verbindet

  1. Hallo,
    danke für das Tutorial. Ich habe allerdings eine Frage zu Szenario 2 über Lancom. Auf welchem Router (Netz 1 oder Netz 2) muss dieser N:N-Tabellen-Eintrag gemacht werden? Was muss ich bei der Routing-Tabelle für eine IP der Gegenstelle eintragen (Originale oder Umges. IP)?
    Danke im Vorraus

  2. Und was macht man nun bei nicht gleich großen Netzen von denen das eine im anderen enthalten ist?
    z.B. 192.168.1.0/24 –> 192.168.0.0/16

    • Dann braucht man auf jeden Fall Binat Adressen, die nicht mit aus dem 192.168.x.x Netz sind – sprich 172.16.x.x oder 10.x.x.x für das NAT Netzwerk. Damit das Klappt muss aber das 192.168.0.0/16 genattet werden.

      Dieser Fall ist in sofern auch sehr speziell – man sollte kein Klasse C Netzwerk mit 16 bit erstellen. Dafür gibt es Klasse B.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

BGrn7

Bitte geben Sie den Text vor: