Guten Morgen,
ich habe eine Frage bezüglich eines VPN Szenarios, das uns vor eine Herausforderung stellt.
Wir möchten eine Site2Site Verbindung mit IPSec durchführen und haben von dem uns gegenüber eine NAT IP Adresse bekommen, da hinter deren Firewall das Netz bereits besteht. Konkrete Netze:
Unser LAN (subnettiert): 192.168.1.0/23
Externes LAN: 192.168.1.0/24
Als Phase2 Netz haben wir folgendes Netz erhalten: 10.2.0.0/24
Uns wurde ebenfalls gesagt, dass wir unser Netz in das 10.2.0.0/24er Netz übersetzen sollen. Wir haben das mit Outbound und 1:1 Nat versucht - leider bis jetzt ohne Erfolg.
Wenn jemand seine Erfahrung mit uns teilen könnte wäre ich sehr dankbar. Mir ist ebenfalls bewusst, das dies keine tolle Lösung/Methode ist, jedoch wurde uns das so vorgegeben.
Danke,
Ludwig
Das Szenario ist doch so geläufig, daß es dafür bereits einen extra Eintrag in den Docs gibt:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html
Danke hab den Wiki Eintrag tatsächlich übersehen. Werds später gleich ausprobieren.
Okay ich habs jetzt versucht. Das Natting klappt leider nicht. Er geht stets ins Internet. Also ein traceroute zeigt mir an, dass die HOPS richtung externes Gateway auf WAN Seite gehen, nicht übers IPSec Tunnel Netzwerk.
Auch die /23 funktioniert nicht - er geht von /24 aus.
Habe folgende Einstellungen versucht:
- Interface: IPSec
- Type: BINAT
- External Network: 192.168.1.0/24
- Source/Invert: kein Haken
- Source
- Single host or Network
- 10.2.0.0/24
- Destination/Invert: kein Haken
- Destination
- Single host or Network
- 192.168.1.0/24
Danke :)
Now we need to add on each side the local LAN in the field "Manual SPD entries". <- Hast du das auch gemacht?
Damit die Pakete auch in den Tunnel geleitet werden?