FortiGate subnet overlapping remapping

Bei einer Site-to-Site-VPN-Konfiguration kann es oft vorkommen, dass die privaten IPv4 Subnet-Adressen an jedem terminierten Ende die selben sind. Das Problem kann durch Remapping der privaten IPv4-Adressen mithilfe von virtuellen IP-Adressen (VIP) gelöst werden.

Durch VIPs können Computer in dessen überlappenden privaten Subnets jeweils einen anderen IP-Adressbereich zugewiesen werden, die Subnets können transparent verwendet werden. Die FortiGate Appliance bildet die VIP-Adressen zu den ursprünglichen Adressen um. Dies bedeutet, wenn PC1 eine Sitzung mit PC2 bei 10.31.101.10 beginnt, leitet FortiGate_2 die Sitzung zu PC2, dieser tatsächliche die IP-Adresse 10.11.101.10 besitzt.

Abbildung zeigt – Finance Netzwerk VIP ist 10.21.101.0/24 und das HR-Netzwerk hat 10.31.101.0/24.

Überlappende Subnetze Beispiel
Überlappende Subnetze Beispiel

Konfiguration einer Route-basierten VPN Lösung:

Eine IPsec Phase 1 und Phase 2 erstellen, wie du es normalerweise für ein Route-basierten VPN tun würdest. In diesem Beispiel wird die resultierende IPsec-Schnittstelle mit IPsec_FGT1_2_FGT2 bezeichnet.

Konfigurieren des virtuellen IP (VIP) Mapping, unter Policy & Objects > Virtual IPs > Create New

New Virtual IP
New Virtual IP

Konfiguriere eine outbound Policy auf beiden FortiGate, unter Policy & Objects > IPv4 Policy > Create New, Lasse den Policy Type auf Firewall und die Policy Subtype als Adresse:

Policy outbound
Policy outbound

Konfigurieren der inbound Policy:

Policy inbound
Policy inbound

Konfigurieren der Static Route:

Static Route
Static Route

Wiederhole diesen Vorgang auf beiden FortiGate, FGT1 und FGT2, unter berücksichtigung der entsprechenden Subnets, 10.21.101.0/24 und 10.31.101.0/24.

Wie nützlich war dieser Beitrag?

Klicke auf einen Stern, um ihn zu bewerten!

Durchschnittliche Bewertung / 5. Stimmenzahl:

Sei der Erste, der diesen Beitrag bewertet.

Du findest den Beitrag nützlich...

Folge mir auf Social Media!

Es tut mir leid, dass dieser Beitrag nicht hilfreich war!

Lass uns diesen Beitrag verbessern!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.