13
Verständnisfrage zu 1:1-NAT zwischen zwei Subnetzen
Hallo,
ich habe die Tage schon ein wenig zu dem Thema gelesen, aber ich verstehe es nicht ganz:
Ich habe hier ein Altnetz mit 192.168.1.x-Adressbereich
Neuer Hosting-Anbieter für unser ERP, der bedient sich nun ebenfalls 192.168.1.x-Adressbereich.
Die zwei Standorte sind per statischem VPN angebunden.
Wenn ich jetzt natürlich eines der Dienste beim Hosting-Anbieter erreichen möchte, dann funktioniert es logischerweise nicht, da hier intern im Netz geroutet wird. Jetzt bin ich auf das Thema 1:1-NAT gestossen. Meine Firewall kann das für den VPN-Tunnel auch beherrschen. Aber wie wird das dann korrekt eingerichtet, damit ich bspw. den Server beim Hosting angepingt bekomme?
Ich muss ja bereits von mir aus ein anderes Subnetz anpingen, (z.B. fürs Hosting 192.168.10.x), damit die Anfrage durch geht und nicht intern die Runde dreht?
Muss dann der Hoster bei sich ein 1:1-NAT als 192.168.10.x einstellen und ich auf meiner Seite dann z.B. ein 192.168.20.x?
Danke.
ich habe die Tage schon ein wenig zu dem Thema gelesen, aber ich verstehe es nicht ganz:
Ich habe hier ein Altnetz mit 192.168.1.x-Adressbereich
Neuer Hosting-Anbieter für unser ERP, der bedient sich nun ebenfalls 192.168.1.x-Adressbereich.
Die zwei Standorte sind per statischem VPN angebunden.
Wenn ich jetzt natürlich eines der Dienste beim Hosting-Anbieter erreichen möchte, dann funktioniert es logischerweise nicht, da hier intern im Netz geroutet wird. Jetzt bin ich auf das Thema 1:1-NAT gestossen. Meine Firewall kann das für den VPN-Tunnel auch beherrschen. Aber wie wird das dann korrekt eingerichtet, damit ich bspw. den Server beim Hosting angepingt bekomme?
Ich muss ja bereits von mir aus ein anderes Subnetz anpingen, (z.B. fürs Hosting 192.168.10.x), damit die Anfrage durch geht und nicht intern die Runde dreht?
Muss dann der Hoster bei sich ein 1:1-NAT als 192.168.10.x einstellen und ich auf meiner Seite dann z.B. ein 192.168.20.x?
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 441309
Url: https://administrator.de/contentid/441309
Printed on: April 26, 2024 at 20:04 o'clock
13 Comments
Latest comment
Moin,
1. beide Seiten keine Ahnung von Networkbasics (ja, das sag ich, bis solche Fragen nicht mehr kommen).
2. Du vergibst im 1:1 Nat andere Adressbereiche, welche in der Logik auf die, mit eurem Netz, identischen IPs genattet werden.
3. Richtig.
Viele Grüße,
Christian
PS: Sinnvoller wäre es, das Netz umzubauen. Am besten beide. Allerdings kann ich mir (leider) nicht vorstellen, dass der ERP Anbieter diese Probleme selten hat und daher (hoffentlich) weiss, was zu tun ist.
1. beide Seiten keine Ahnung von Networkbasics (ja, das sag ich, bis solche Fragen nicht mehr kommen).
2. Du vergibst im 1:1 Nat andere Adressbereiche, welche in der Logik auf die, mit eurem Netz, identischen IPs genattet werden.
3. Richtig.
Viele Grüße,
Christian
PS: Sinnvoller wäre es, das Netz umzubauen. Am besten beide. Allerdings kann ich mir (leider) nicht vorstellen, dass der ERP Anbieter diese Probleme selten hat und daher (hoffentlich) weiss, was zu tun ist.
Moin,
ich habe die Tage schon ein wenig zu dem Thema gelesen, aber ich verstehe es nicht ganz:
Dann hast du vermutlich das falsche gelesen.
Ich habe hier ein Altnetz mit 192.168.1.x-Adressbereich
Neuer Hosting-Anbieter für unser ERP, der bedient sich nun ebenfalls 192.168.1.x-Adressbereich.
Neuer Hosting-Anbieter für unser ERP, der bedient sich nun ebenfalls 192.168.1.x-Adressbereich.
Warum dieser Blödsinn? wieso habt Ihr den Hoter nichtdarauf aufmerksam gemacht, daß das Adresskonfilkte gibt? Sofern das ein ordentlicher Hster wäre, hötte er eigentlich von selbst darauf kommen müssen und das ganze von vornherein vermeiden, indem er Subnetze aus 10.0.0.0/8 oder 172.16.0.0/12 nimmt und nicht die "default"-Netze der Kleinbetriebe.
Die zwei Standorte sind per statischem VPN angebunden.
Was auch sinnvoll ist.
Wenn ich jetzt natürlich eines der Dienste beim Hosting-Anbieter erreichen möchte, dann funktioniert es logischerweise nicht, da hier intern im Netz geroutet wird.
Jupp. es gibt eine grundlegende Regel, die nie verletzt werden darf: IP-netze müssen immer disjunkt sein, wenn zwischen ihnen geroutet werden soll.
Jetzt bin ich auf das Thema 1:1-NAT gestossen. Meine Firewall kann das für den VPN-Tunnel auch beherrschen. Aber wie wird das dann korrekt eingerichtet, damit ich bspw. den Server beim Hosting angepingt bekomme?
Ich muss ja bereits von mir aus ein anderes Subnetz anpingen, (z.B. fürs Hosting 192.168.10.x), damit die Anfrage durch geht und nicht intern die Runde dreht?
Muss dann der Hoster bei sich ein 1:1-NAT als 192.168.10.x einstellen und ich auf meiner Seite dann z.B. ein 192.168.20.x?
Ich muss ja bereits von mir aus ein anderes Subnetz anpingen, (z.B. fürs Hosting 192.168.10.x), damit die Anfrage durch geht und nicht intern die Runde dreht?
Muss dann der Hoster bei sich ein 1:1-NAT als 192.168.10.x einstellen und ich auf meiner Seite dann z.B. ein 192.168.20.x?
Es gibt mehrere Lösungen für Deine Problem:
1. Du trittst den Hoster, damit er ein vernünftiges Netz einstellt. Hoster die 192.168-er Netze nehmen sind unseriös, weil diese fast immer mit irgendeinem LAN eine Kleinbetribes kollidieren. das sollte ein Hoster wissen und berücksichtigen.
2. Du änderst einfach Dein Netz (in ein /24 aus dem aus dem 172.16.0.0/12-erbereich) , was sowieso sinnvoll ist, weil das auf lange Sicht weniger Kollisionen gibt.
3. Du machst das VPN nicht in Deier Firewall, sondern auf einem separaten Router, der an einem Separaten Port Deiner Firewall in einem Transfernetz hängt:
- Du legst zwei Subnetze fest, welche virtuell auf der jeweils "anderen Seite" liegen, z.B. 172.17.17.0/24 für den Hoster und 172.18,18,/24 für Dein Netz.
- Dieser Router macht die eine Seite des NAT, z.B. alls was über VPN vom Hoster kommt vom Source-Adresse 192.168.1.0/24 auf source-Adresse 120.17.17.0/24 natten und alles was zum Hoster gehen soll von Destination 120.17.17.0/24 auf Dest. 192.168.1.0/24.
- Deine Firewall macht das dann für "Deine" 192.168.1.0/24 udn 172.18.18.0/24 genauso.
Dafür reicht z.B. ein kleiner Mikrotik hex oder hap für einen 20er.
lks
Zitat von @falscher-sperrstatus:
PS: Sinnvoller wäre es, das Netz umzubauen. Am besten beide. Allerdings kann ich mir (leider) nicht vorstellen, dass der ERP Anbieter diese Probleme selten hat und daher (hoffentlich) weiss, was zu tun ist.
PS: Sinnvoller wäre es, das Netz umzubauen. Am besten beide. Allerdings kann ich mir (leider) nicht vorstellen, dass der ERP Anbieter diese Probleme selten hat und daher (hoffentlich) weiss, was zu tun ist.
So eine Konstellation läßt mich eher an der Kompetenz eines ERP-Hoosting-Anbieters zweifeln. Wenn der sein ERP genauso macht wie seine Netze, sollte man seine Entscheidung überdenken.
lks
Hier wird es mit Bildern verständlich erklärt (Static NAT Beispiel):
https://www.computernetworkingnotes.com/ccna-study-guide/how-to-configur ...
https://www.computernetworkingnotes.com/ccna-study-guide/how-to-configur ...
Danke für eure Antworten, mein Netz läuft ja bereits im 10.x.x.x-Bereich, habe jedoch noch einige Alt-Lasten mit 192er, die noch nicht umgezogen sind. Werde ich auch mal in Angriff nehmen müssen. Versuchen es dann wie oben beschrieben mit 1:1-NAT, wenn dies so dann funktionieren sollte. Mir war eben nicht ganz klar, wie ich dann das Subnetz gegenüber anspreche. Ja, ich habe nicht viel Ahnung von Netzwerken, mache das auch nicht jeden Tag und kümmere mich alleine um alles hier.
Zur Kompetenz der ERP-Anbieters: Naja, die IT wurde bei der Entscheidungsfindung, wie es weiter geht, nicht wirklich berücksichtigt, diese darf den Mist eben ausbaden. Aber kein Wunder das der Laden pleite ist, läuft alles super hier. Das ERP in der Cloud zu hosten, während man 24x6 produziert ist auch ein Schwachsinn, hat man beim letzten Ausfall der Internet-Leitung gesehen wie super es läuft. Für Redundanz haben wir allerdings kein Geld. Das Geld was für das monatliche Hosting ausgegeben wird, könnte man auch in einige Maschinen lokal investieren - aber was weiß der Admin schon von sowas...
Zur Kompetenz der ERP-Anbieters: Naja, die IT wurde bei der Entscheidungsfindung, wie es weiter geht, nicht wirklich berücksichtigt, diese darf den Mist eben ausbaden. Aber kein Wunder das der Laden pleite ist, läuft alles super hier. Das ERP in der Cloud zu hosten, während man 24x6 produziert ist auch ein Schwachsinn, hat man beim letzten Ausfall der Internet-Leitung gesehen wie super es läuft. Für Redundanz haben wir allerdings kein Geld. Das Geld was für das monatliche Hosting ausgegeben wird, könnte man auch in einige Maschinen lokal investieren - aber was weiß der Admin schon von sowas...
Generell ist NAT immer Mist, es sei denn man hat wirklich keine andere Wahl. Es bedeutet immer einen Aufwand im Management und ist wenig skalierbar. Die IP Adressierung wird dann schnell unübersichtlich.
Langfristig ist es immer besser die IP Adressierung dann im VPN Umfeld anzupassen. Weisst du ja aber auch selber...
VPNs einrichten mit PPTP
Langfristig ist es immer besser die IP Adressierung dann im VPN Umfeld anzupassen. Weisst du ja aber auch selber...
VPNs einrichten mit PPTP
hi
Neuer Hosting-Anbieter für unser ERP, der bedient sich nun ebenfalls 192.168.1.x-Adressbereich.
Ach du schande ... das wäre für mich schon Grund genug den Hoster nicht zu nehmen. Der hat offenbar keine Ahnung von Netzwerk ...Der hat offenbar keine Ahnung von Netzwerk ...
Davon kann man bei so einem gruseligen IP Anfängerdesign ganz sicher ausgehen ! Da sollte man besser schnellstens wechseln... 
Quick und dirty:
man subnettet das /24 Netz in 2x /25 und fettich.
Also Submetzmaske 255.255.255.128, dann gibts 2 Teilnetze 192.168.1.0 bis 127 und 128-255
ist zwar auch nur eine Krücke aber solang weniger als 126 Addressen pro Bereich vergeben sind müßte man damit erstmal hinkommen...
man subnettet das /24 Netz in 2x /25 und fettich.
Also Submetzmaske 255.255.255.128, dann gibts 2 Teilnetze 192.168.1.0 bis 127 und 128-255
ist zwar auch nur eine Krücke aber solang weniger als 126 Addressen pro Bereich vergeben sind müßte man damit erstmal hinkommen...
Zitat von @Lochkartenstanzer:
So eine Konstellation läßt mich eher an der Kompetenz eines ERP-Hoosting-Anbieters zweifeln. Wenn der sein ERP genauso macht wie seine Netze, sollte man seine Entscheidung überdenken.
lks
Zitat von @falscher-sperrstatus:
PS: Sinnvoller wäre es, das Netz umzubauen. Am besten beide. Allerdings kann ich mir (leider) nicht vorstellen, dass der ERP Anbieter diese Probleme selten hat und daher (hoffentlich) weiss, was zu tun ist.
PS: Sinnvoller wäre es, das Netz umzubauen. Am besten beide. Allerdings kann ich mir (leider) nicht vorstellen, dass der ERP Anbieter diese Probleme selten hat und daher (hoffentlich) weiss, was zu tun ist.
So eine Konstellation läßt mich eher an der Kompetenz eines ERP-Hoosting-Anbieters zweifeln. Wenn der sein ERP genauso macht wie seine Netze, sollte man seine Entscheidung überdenken.
lks
Am besten beide.
Ansonsten bin ich bei dir, aber...ja, man wird müde...
müßte man damit erstmal hinkommen...
Sonst nimmt er das 10er Netz mit einem /9 Prefix. Das reicht dann für 8388606 Endgeräte 
Problem ist gelöst, nachdem der Hoster kostenpflichtig nun sein internes Netz auf 192.178.1.x umgestellt hat. Naja, es funktioniert nun.