OPNsense Forum

International Forums => German - Deutsch => Topic started by: marju on February 26, 2020, 01:54:12 pm

Title: IPsec NAT mehrere Rechner
Post by: marju on February 26, 2020, 01:54:12 pm

Hallo zusammen,
ich bin ein wenig am verzweifeln.
Bisheriger Stand der Dinge:
OpenVPN Server, alles gut, läuft.
Fritzbox per IPSec angebunden, alles gut, läuft.
Jetzt aber zum Problem:
Ich muss 3 Rechner und ein Netzwerk per IPSec bei uns im Haus anbinden.
Leider existiert unser Netz schon beim Dienstleister, so dass ich NAT before IPSec umsetzen muss.
Das klappt leider nicht.
Der Tunnel läuft soweit. Alles grün. Aber kein Ping geht.
Die Konfiguration sieht so aus:
Tunneleinstellung Phase 2:

Lokales Netzwerk:
Typ: Netzwerk
Adresse: unbenutztes neues Netzwerk / 16
Entferntes Netzwerk:
Typ: Netzwerk:
Erster Rechner /32
Mauelle SPD Einträge: Unser lokales Netzerk / 16

Nat eins zu eins:
Schnittstelle: IPsec
Typ: Binat
Externes Netzwerk: unbenutztes neues Netzwerk / 16
Quelle: unser lokales Netzwerk / 16
Ziel: Erster Rechner / 32

NAT reflection ist deaktiviert.

Ping geht leider nicht. Es kommt keine Verbindung zu stande.
Zudem wenn ich mir den Status anschaue, dann kommt von der Gegenseite eine Anfrage von Rechner A rein und die Antwort geht an Rechner C wieder raus.
Irgenwie verliert die OPNSense wer welche Anfrage durch den Tunnel geschickt hat. Bzw. das Nat läuft nicht sauber.

Was ich schon versucht habe:
Natreflection aktiviert.
Phase 2 von Netzerk auf Host

Ich hoffe ihr habt eine Idee dazu. Bin froh über jeden Tip.

Gruß Marc

Title: Re: IPsec NAT mehrere Rechner
Post by: mimugmail on February 26, 2020, 02:10:56 pm

tcpdump auf enc0 mit dem Ping wäre interessant

Title: Re: IPsec NAT mehrere Rechner
Post by: marju on February 26, 2020, 02:24:45 pm

Hi,
wenn ich die Portaufzeichnung auf IPSec starte und den Ping mache, ist die Aufzeichnung leer.
Da kommt nix. :-\

Title: Re: IPsec NAT mehrere Rechner
Post by: mimugmail on February 26, 2020, 04:07:42 pm

Dann funktioniert NAT nicht oder geblockt.

Title: Re: IPsec NAT mehrere Rechner
Post by: marju on February 27, 2020, 12:01:18 pm

Das ist ja das komische an der Sache,
Rechner A sendet rein, Rechner B empfängt die Antwort.

Title: Re: IPsec NAT mehrere Rechner
Post by: mimugmail on February 27, 2020, 01:34:15 pm

Kannst du das mal in IP Adressen ausdrücken?

Title: Re: IPsec NAT mehrere Rechner
Post by: marju on March 03, 2020, 09:58:18 am

Also:
Einen Tunnel mit bis zu 4 Phase 2 einträgen.
Anfrage kommt von
172.45.10.103 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.115

Anfrage kommt von
172.45.10.115 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.210

Anfrage kommt von
172.45.10.210 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.103

Title: Re: IPsec NAT mehrere Rechner
Post by: mimugmail on March 03, 2020, 11:17:54 am

Jo, mittlerweile bekannt. NAT geht nur mit einer Phase2 ...

Title: Re: IPsec NAT mehrere Rechner
Post by: marju on March 03, 2020, 03:26:32 pm

Hm, schade.
Gibt es sonst noch irgendeinge Möglichkeit das trotzdem zu realisieren ?