Skip to main content
Skip table of contents

IPSec BINAT (NAT vor IPSec)

Angenommen, Firma A hat das lokale LAN 10.0.1.0/24 und Firma B hat das lokale LAN 10.0.2.0/24. Außerdem nehmen wir an, dass auf beiden Seiten die anderen Netzwerke bereits in Gebrauch sind, z. B. wird in Firma A das Netzwerk 10.0.2.0/24 für Voice und in Firma B das Netzwerk 10.0.1.0/24 für Guest Wi-Fi verwendet.

Wir müssen für die Phase 2 neue Netzwerke mit unbenutzten definieren und NAT-Einträge erstellen, um die endgültigen Systeme zu erreichen.

Der Einfachheit halber erstellen wir eine Phase2 mit Firma A mit 192.168.1.0/24 als Lokales Netzwerk und 192.168.2.0/24 als Remote Netzwerk und mit Firma B mit 192.168.2.0/24 als Lokales Netzwerk und 192.168.1.0/24 als Remote Netzwerk. Nun müssen wir auf jeder Seite das lokale LAN im Feld „Manuelle SPD-Einträge“ hinzufügen. Also für Firma A setzen wir 10.0.1.0/24 in das Feld und für B 10.0.2.0/24. Damit kann der NAT-Prozess mit der Security Policy Database sprechen.

Schließlich müssen wir NAT-Einträge erstellen, da ein Client in LAN A (10.0.1.10) versucht, 192.168.2.10 zu erreichen, diese Adresse aber auf Firewall B auf 10.0.2.10 umgeschrieben werden muss.

Bei der Verwendung mehrerer Phase-2-Einträge pro Tunnel wird NAT vor IPsec nicht unterstützt, da unsere SP-Datenbank nicht weiß, an welchen Eintrag sie den Datenverkehr senden soll. Für mehr Kontext lesen Sie bitte setkey.


Erstellen Sie die Regel wie im Screenshot und umgekehrt auf Firewall A:


JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close