Hallo zusammen,
ich habe eine Herausforderung mit SNAT an der OPNsense, an der ich gerade nicht weiter komme. Ich hoffe Ihr habt eine Idee.
Dazu folgendes Diagramm:
.-----+------.
| LAN-R |
'-----+------'
|
| 192.168.100.0/24
|
.---------+--------.
| OPNSense Remote |
'---------+--------'
|
| IPSec
|
.--------+--------. .------------.
| OPNsense Local +---------------------+ LAN2 | 10.99.1.0/24
'--------+--------' '------------'
|
LAN | 10.99.0.0/24
|
.-----+------.
| LAN-1. |
'-----+------'
Zwischen meiner OPNsense (local) und der Gegenstelle (remote) besteht bereits ein route-based IPSec.
Hier wurde bisher auf meiner Seite das Netz 10.99.0.0/24 genutzt und ich habe Zugriff auf diverse Systeme im Remote Netz 192.168.100./24. Bisher also alles fein.
Auf meiner Seite gibt es jetzt allerdings noch ein weiteres Netz (10.99.1.0/24), welches Zugriff benötigt.
Aber die Gegenstelle erlaubt keine weiteren Netze.
Also war die Idee ein NAT von der 10.99.1.0/24 auf eine IP aus dem Netz 10.99.0.0/24 zu machen.
Dazu habe ich bereits mit einem One-to-One NAT als auch Outbound NAT versucht das Ganze umzusetzen.
Allerdings scheint die OPNsense ein Routing Problem nach dem NAT zu haben.
Mein eingehendes Paket von der 10.99.1.1 wird auf die 10.99.0.99 genatted und an das Interface "OPNsense1" (welches das Gateway ist) gesendet. Die weiteren Paket dann allerdings an das Standard IPSec Interface. und damit natürlich nicht mehr korrekt.
Hat jemand besagtes NAT schon einmal umgesetzt bekommen und hat eine Idee, wo es noch hängt?
vielen Dank :D
Ist eine technische Limitierung, geht derzeit leider nicht.
Ich muss auch so ein Konstrukt realisieren. Gibt es schon eine Agenda bis wann das möglich ist ?
Wird das funktionieren, wenn man statt des Route-Based-Tunnels ein Policy-Based-Tunnel benutzt ?
Ja, bei policy geht das, auf jeden Fall wenn du eine P2 hast. Wenn es mehrere P2 gibt dann kommt es auf die Gegenseite an.
Ich brauche zwei P2-Policies ...
Dann einfach mal probieren
Habe ich probiert und es funktioniert.
Danke !