OPNsense Forum
International Forums => German - Deutsch => Topic started by: Chriss on November 28, 2018, 03:36:33 pm
-
Hallo Community,
ich zerdepper mir gerade den Kopf über ein Setup welches mir vorgegeben wurde.
Unser Application Hoster möchte, eine Art "Zwischennetz" haben, ich möchte aber seine Router nicht. :-)
Als Vorgabe habe ich, dass mein Netz 10.0.5.0/24 und mein Router die 10.0.5.253 sein soll. Mein echtes Netz ist allerdings 192.168.1.0/24.
Wenn ich das richtig gelesen habe, sollte BINAT und IPSEC Phase 2 helfen..
Entsprechend habe ich meinem LAN Interface die virtuelle IP 10.0.5.253 gegeben. Ping vom Client auf 10.0.5.253 klappt.
Der Netzaufbau sieht so aus:
(Mein Netz 192.168.1.0/24 + [Meine FW]) -- IPSEC -- ([Gegenstelle FW] + Remote Netz 10.0.123.0/24)
Folgende Einstellungen habe ich also in der Phase 2 vom IPSEC Tunnel gesetzt:
Local Network: 10.0.5.0 /24
Remote Network: 10.0.123.0 /24
Manual SPD entries: 192.168.1.0/24
Und folgendes unter Firewall: NAT: One-to-One
Interface: IPSEC
Type: Binat
External network: 10.0.123.0
Source: 192.168.1.0 /24
Destination: 10.0.123.0 /24
Erfolgerlebnis: IPSEC Phase 1 und Phase 2 bauen sich auf.
Ping auf 10.0.123.1 (der Application Server) läuft nicht durch
Meine Gegenstelle erlaubt pings auf die Gegenstellen das haben wir schon geprüft.
Habt ihr eine Idee, wo es noch klemmt?
Liebe Grüße
Chriss
-
Hi,
Du bist ziemlich sicher von https://github.com/opnsense/core/issues/1773 betroffen
Workaround: https://forum.opnsense.org/index.php?topic=10497.msg48404#msg48404
P.S: deinem Lan Interface brauchst du für einen IPSEC Tunnel keine virtuelle zusätzliche IP geben. Das wird alles in den IPsec Phase 2 Settings mit Remote/Source Netzwerk angegeben..
lg
Michael