OPNsense Forum
International Forums => German - Deutsch => Topic started by: marju on February 26, 2020, 01:54:12 pm
-
Hallo zusammen,
ich bin ein wenig am verzweifeln.
Bisheriger Stand der Dinge:
OpenVPN Server, alles gut, läuft.
Fritzbox per IPSec angebunden, alles gut, läuft.
Jetzt aber zum Problem:
Ich muss 3 Rechner und ein Netzwerk per IPSec bei uns im Haus anbinden.
Leider existiert unser Netz schon beim Dienstleister, so dass ich NAT before IPSec umsetzen muss.
Das klappt leider nicht.
Der Tunnel läuft soweit. Alles grün. Aber kein Ping geht.
Die Konfiguration sieht so aus:
Tunneleinstellung Phase 2:
Lokales Netzwerk:
Typ: Netzwerk
Adresse: unbenutztes neues Netzwerk / 16
Entferntes Netzwerk:
Typ: Netzwerk:
Erster Rechner /32
Mauelle SPD Einträge: Unser lokales Netzerk / 16
Nat eins zu eins:
Schnittstelle: IPsec
Typ: Binat
Externes Netzwerk: unbenutztes neues Netzwerk / 16
Quelle: unser lokales Netzwerk / 16
Ziel: Erster Rechner / 32
NAT reflection ist deaktiviert.
Ping geht leider nicht. Es kommt keine Verbindung zu stande.
Zudem wenn ich mir den Status anschaue, dann kommt von der Gegenseite eine Anfrage von Rechner A rein und die Antwort geht an Rechner C wieder raus.
Irgenwie verliert die OPNSense wer welche Anfrage durch den Tunnel geschickt hat. Bzw. das Nat läuft nicht sauber.
Was ich schon versucht habe:
Natreflection aktiviert.
Phase 2 von Netzerk auf Host
Ich hoffe ihr habt eine Idee dazu. Bin froh über jeden Tip.
Gruß Marc
-
tcpdump auf enc0 mit dem Ping wäre interessant
-
Hi,
wenn ich die Portaufzeichnung auf IPSec starte und den Ping mache, ist die Aufzeichnung leer.
Da kommt nix. :-\
-
Dann funktioniert NAT nicht oder geblockt.
-
Das ist ja das komische an der Sache,
Rechner A sendet rein, Rechner B empfängt die Antwort.
-
Kannst du das mal in IP Adressen ausdrücken?
-
Also:
Einen Tunnel mit bis zu 4 Phase 2 einträgen.
Anfrage kommt von
172.45.10.103 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.115
Anfrage kommt von
172.45.10.115 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.210
Anfrage kommt von
172.45.10.210 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.103
-
Jo, mittlerweile bekannt. NAT geht nur mit einer Phase2 ...
-
Hm, schade.
Gibt es sonst noch irgendeinge Möglichkeit das trotzdem zu realisieren ?