Moin zusammen,
ich würde gerne einen Port über meine VPN an ein Ziel hinter dem VPN Tunnel senden.
Nun weil ich die default Route nicht übertragen möchte, möchte ich in Richtung VPN Tunnel Natten. Leider gestaltet sich das nicht ganz so einfach.
Wenn ich nu Outbound nat Einstelle welches Interface muss ich dann verwenden? DAS IPSEC oder das aus meiner RouteBased VPN? Momentan funtzt das NAT garnicht...
Leider
Danke und Gruß
Matze
Könntest du das etwas genauer ausführen? Mir ist gerade nicht klar, was du von wo wie erreichen möchtest und welche Techniken (VPN) wo zum Einsatz kommen.
Gruß
Folgendes:
Internetzugriff -> WAN:Portx -> VPN -> LAN PortX
Es gibt nur Routen zwischen OPNSENSE LAN und meinem LAN
Wenn nun ein Zugriff aus dem Internet erfolgt, dann müsste ich ja die Source auf die LAN IP der Sense umnatten.
das würde ich auch gerne zun, jedoch wird der Traffic von Extern gar nicht erst Richtung Tunnel geroutet er wird wieder nach WAN rausgesendet, folglich funtz mein Routing nicht.
Ich weiß jedoch nicht wie ich das Fixen soll. Sobald ich auf Routebased VPN umbau, habe ich nicht mehr das Problem das die Pakete nach WAN wollen, dann habe ich das Problem, dass die Pakete nichtmehr wissen ob sie Durch das Tunnel interface oder durch das ipsec interface sollen...
Ich versuche es nochmal weil skizzieren nicht so wirklich dein Ding ist ;)
Du möchtest also so ich das verstehe einen Zugriff auf deine WAN Adresse via Internet, bei dir annehmen auf Port X (bspw. 80) und das dann weiterleiten über (WAS für ein VPN!?) ein VPN an einen anderen Standort/Gerät in dessen LAN?
Bitte mal mehr Details sonst wird das nichts. Das mag alles für dich klar sein, aber für mich macht deine "Skizze" keinen Sinn.
Ich mache es mal einfacher :)
hab da mal was Skizziert :) siehe Anhang
Na damit kann man doch arbeiten ;)
Also deine Public IP wird per bspw. 443 angesprochen und du willst den Zugriff dann per VPN an die Fortigate und das LAN dahinter schicken, was .111.x hat?
Ja das geht. Sauberes Routing von der IPSEC Verbindung abgesehen (also sauberes Netz zu Netz mit Regeln die den Zugriff erlauben). Wenn das der Fall ist, solltest du als NAT IP beim Port Forwarding einfach die IP im LAN der Fortigate eingeben können.
Zusätzlich müsstest du noch ein Outbound NAT auf dem IPSec Interface konfigurieren, dass alles was von "any" an die .111.x geht (also die Adresse wohin du forwardest), geNATtet wird auf eine spezifische Adresse. Wenn dein Site2Site mit der Fortigate zwischen deinem bspw. 192.168.123.x und ihrem 192.168.111.x ist, dann müsstest du auf eine Adresse umschreiben, die sie somit kennt, also eine .123.x'er - kann dann auch die LAN IP der OPNsense sein, dann müsste es IMHO gehen.
Grüße
Genau das Versuche ich bereits, aber es klappt nicht. Im Log sehe ich dann immer nur, dass die Packete die auf die PIP gehen über WAN wieder raus wollen ;)
> Im Log sehe ich dann immer nur, dass die Packete die auf die PIP gehen über WAN wieder raus wollen ;)
In welchem Log? Der Fortigate?
ne live view von der opnsense
> Im Log sehe ich dann immer nur, dass die Packete die auf die PIP gehen über WAN wieder raus wollen ;)
Wenn du DAS auf der OPNsense siehst - was genau ist dann falsch? Die Pakete sollen ja vom
WAN -> genattet IPSEC -> Fortigate -> LAN
und dann müssen die natürlich auch wieder die Strecke zurück bei dir aus dem WAN?
Bilder sagen mehr als Worte :)
Also das was du zur Fortigate packen willst geht nicht dahin sondern ins WAN? Oder wie soll ich das verstehen?
Wie wärs mal die NAT Einstellungen für Forwards, Outbound und die Regeln zu posten ;) Dann ist das auch kein Ratespiel mehr :)
Aber klar du hast ja Recht :)
Und was ist SSLVPN_IN? Und wo ist die Regel? Du musst mir nicht unbedingt den Edit-Screen zeigen, die tabellarische Liste täte es auch. Unten nutzt du außerdem SSL_VPN_PORT statt HTTPS. Ich würde da einfach "any" machen um sicher zu gehen. Regeln, Routen und VPN Phase 2 für die Netzeinstellungen wären auch hilfreich.
So ich hab nun nochmal nen paar Bilder gemacht, ich hoffe ich hab diesmal nichts vergessen.
OK du mappst eingehend auf dem WAN von * nach deiner WAN IP tcp/443 auf SSL_VPN_IN/443.
Das müsste somit dann vom Routing aufgegriffen werden und auf die VPN IP geschickt werden.
Via Outbound NAT sollte das dann auf die LAN IP umgeschrieben werden. Allerdings ist deine Outbound NAT auf den Port SSL_VPN_PORT konfiguriert, statt auf tcp/443.
Das zweite könnte sein, dass die das IPSEC Routing in die Suppe spuckt. Da das Paket von "egal wem" kommt, müsstest du theoretisch deine Phase ändern auf Source any statt "local Subnet", weil es sonst wahrscheinlich nicht geroutet wird. Da kenne ich aber die Fortigate auf der anderen Seite nicht, ob die das mitmacht.
Eine andere Variante wäre ggf. noch einen Proxy aufzusetzen, da dieser die Verbindung übersetzen kann. Also bspw. HAProxy mit Frontend auf dem LAN-Interface konfiguriert könnte dann die Verbindung mit dem Backend (der IP im Fortinetz) herstellen und das dorthin weiterleiten.
Oder OVPN, weil Transfernetz. Damit wäre es dann eben in Minuten gelöst :/
Damit ich nicht eine 0.0.0.0 SA aufbauen muss möchte ich ja auf LAN IP umnatten.
Ich weiß auch das es so funktioniert, ich hatte es so schonmal am laufen, leider war es nur ein testsystem und ich hab vergessen alles zu backupen bevor ich den zugriv verloren habe.
Das Routing auf der Opnsense was eigentlich in den tunnel soll zeigt auf die gw ip der opnsense. warum weiß ich nicht. aber Ping usw. geht sauber durch nur sobald es von wan kommt nicht.
Aber wie gesagt dafür möchte ich ja das SNAT machen.
OVPN geht nicht, das macht die Forti nicht mit...
> Damit ich nicht eine 0.0.0.0 SA aufbauen muss möchte ich ja auf LAN IP umnatten.
Verstehe ich, aber das Routing zwischen deinen SAs läuft ja aktiv NUR via LAN IP. Wenn dein Paket via Forwarding umgeschrieben wird, hätte es als Target dann die Fortinet-Seite IP. Wenn es dann noch Outbound NAT durchläuft, sollte(!) es auch geNATtet werden bevor es in den Routing Stack geht, aber keine Garantie.
Daher unbedingt Forwards + Outbound checken ob das richtig umgeschrieben wird. TCPdump hilft dabei zu sehen, was das Paket macht. Daher mein Hinweis dass deine Regeln nicht zueinander passen (wegen dem Port).
> OVPN geht nicht, das macht die Forti nicht mit...
Indeed, leider. :/
Ja OVPN hätte ich auch gerne auf den Kisten, mal sehen ob da iwann noch was kommt.
ok. Könntest du mir zu dem TCPDump noch was an infos mitgeben?
Wie ich die Forti Troubleshoote weiß ich sehr genau. aber nicht die Opnsense.
> Wie ich die Forti Troubleshoote weiß ich sehr genau. aber nicht die Opnsense.
Am Einfachsten sicher auf der Shell via SSH dann TCPDump auf dem internen oder IPSEC Interface machen und gezielt eben nach Traffic auf die FortinetIP oder Interne IP suchen.
Ein Beispiel kannst du hier finden:
https://docs.netgate.com/pfsense/en/latest/monitoring/performing-a-packet-capture.html
sowas wie: tcpdump -nvi <interface> port 443 and host <ip>
Bspw.
tcpdump -nvi ipsec0 port 443 and host 192.168.111.2
(gesetzt es gibt ein ipsec/ipsec0 interface, siehst du aber mit ifconfig -a)
tcpdump -nvi igb0 port 443 and host 192.168.111.2
Sowas in der Art.
Ich glaube so langsam kommen wir dem Problem auf die schliche.
Ich habe eine stehende IPSEC Verbindung, aber kein Interface..
Doch ;) enc0 ist dein Freund soweit ich weiß :)
Hi Sorry für die späte Antwort. Leider sehe ich gar nichts im Enc01, wenn ich das Portforwarding versuche.
Pings von LAN selbst tauchen aber auf. Also werden wohl die Packete nicht ins IPSEC Interface geschoben.
Iwie ist das alles sehr merkwürdig.