1:1 NAT – oder wie man gleiche Netzwerke miteinander verbindet

Wer VPN benötigt kommt zwangsläufig hin und wieder an eine Stelle, wo man nicht weiterkommt. Das ist üblicherweise dann der Fall, wenn die zu verbindenden Netzwerke den selben Netzwerkbereich haben. Oder man muss zwei Netzwerke zu einer zentralen Stelle verbinden die den gleichen Netzwerkbereich haben.

Die Lösung ist 1:1 NAT.

Zu erst etwas Theorie. NAT ist Netword Adress Translation – also die Übersetzung von Netzwerk Adressen. DNAT kennen die meisten (Destination NAT) – es wird eingesetzt um interne Dienste ins Internet freizugeben. 1:1 NAT macht das auf der Basis des kompletten Netzwerkbereiches. Man kann also beispielsweise das Netzwerk 192.168.0.0/24 als 192.168.168.0/24 ausgeben.

Das ist immer dann notwendig, wenn man mit Firewall und VPN Netzwerke verbinden will, und ein Netzwerkbereich schon einmal vorhanden ist. In diesem Fall muss man diesen Netzwerk Bereich übersetzen um darauf zugreifen zu können. Für das VPN wird dann der Transfernetzbereich angegeben und nicht das ursprüngliche Netz.

Ich gehe von diesen beiden Scenarios aus.

Scenario 1 – Netz zu Netz – beide Netze gleich (mindestens ein Netzwerk muss mit 1:1 NAT übersetzt werden):

Netz 1Netz 2
Netzwerk192.168.0.0/24192.168.0.0/24
Transfernetz (Quelle für VPN)192.168.168.0/24(optional 192.168.169.0/24)

Üblicherweise im Netz 1 wird der „echte“ IP Bereich auf ein Transfernetz übersetzt. Das Netz 2 kann dann auf Netz 1 über die Transfernetz Adressen zugreifen.

Scenario 2 – Netz (zweimal das selbe an unterschiedlichen Standorten) zu Netz (zentrale Firewall):

Netz 1Netz 2Netz 3
Netzwerk192.168.1.0/24192.168.0.0/24192.168.0.0/24
Transfernetz (Quelle für VPN) nicht notwendig (wie Netzwerk)192.168.168.0/24(optional 192.168.169.0/24)

In diesem Fall reicht es ein Netzwerk zu übersetzten – hier Netzwerk 2. Sollte Netz 1 auch gleich sein, dann muss man zwei Netzwerke übersetzen.

Bei Lancom Routern nennt man das N:N NAT und man braucht nur einen Eintrag um die Übersetzung der IP Adressen auf dem Hin- und Rück weg zu ermöglichen. Diese Einstellung wird auf dem Router vorgenommen, der für die anderen Router unter einer anderen Adresse zugreifbar sein soll.

Lancom-Binat Menu Lancom-Binat

Bei pfSense nennt man es BINAT (und es findet sich in der IPSEC Konfiguration in Phase 2):

pfsense-binat

Bei Sophos UTM ist das 1:1 NAT und es ist recht gut in diesem Artikel erklärt:

http://www.sophos.com/de-de/support/knowledgebase/115579.aspx

Leider ist es bei Sophos etwas komplizierter, da man hier beide Richtungen getrennt voneinander angeben muss.

Scenario 1:

Netz 1Netz 2
Netzwerk192.168.0.0/24192.168.0.0/24
Transfernetz192.168.168.0/24(optional 192.168.169.0/24)
Quellübersetzung (Map Source)192.168.0.0/24 zu 192.168.168.0/24(optional 192.168.0.0/24 zu 192.168.169.0/24)
Zielübersetzung (Map Destination)192.168.168.0/24 zu 192.168.0.0/24(optional 192.168.169.0/24 zu 192.168.0.0/24)

Scenario 2:

Netz 1Netz 2Netz 3
Netzwerk192.168.1.0/24192.168.0.0/24192.168.0.0/24
Transfernetznicht notwendig192.168.168.0/24(optional 192.168.169.0/24)
Quellübersetzung (Map Source)nicht notwendig192.168.0.0/24 zu 192.168.168.0/24(optional 192.168.0.0/24 zu 192.168.169.0/24)
Zielübersetzung (Map Destination)nicht notwendig192.168.168.0/24 zu 192.168.0.0/24(optional 192.168.169.0/24 zu 192.168.0.0/24)