Hallo,
leider weiß ich nicht wie ich den Titel besser nennen soll, aber hier ist die Situation:
Drei Netze.
Site1(LAN(10.10.10.0/24);VLAN11(10.10.11.0/24)<->Cisco-VPN<=S2S=>Site2(LAN3(10.10.30.0/24)).
Site1 ist die OPNsense. Die Sense ist Gateway für den 2. Router, Cisco-VPN, dieser baut ein S2S Tunnel mit Site2 auf.
Site2 akzeptiert ausschließlich 10.10.10.0 als Netz.
Die Aufgabe lautet: aus 10.10.11.0 ins 10.10.30.0 verbinden.
Bisher auf der Sophos habe ich das so gelöst, dass ich mir im 10.10.10.0-Netz eine IP erstellt habe ("Additional Address"), und diese dann mit SNAT und DNAT übersetzt habe.
Wie würde man das auf der OPNsense lösen?
Virtual IP / IP Alias?
Danke
Und eine Frage dazu, solllte das der richtige Weg sein:
Wenn ich dann eine DNAT-Rule erstelle (Port Forward), muss ich ein Interface angeben.
Ich gehe davon aus, dass ich hier das Quell-Interface eingebe, korrekt?
Also für DNAT für IP-Alias zur echten IP, dann wird Interface des Netzes wo sich das IP-Alias befindet ausgewählt?
In meinem Exempel wäre das eben LAN.
Aliquot dazu, bei einem SNAT-Rule (NAT Outbound), wäre das Interface VLAN11.
Und im Falle dass sich die zu übersetzende IP in einem Netz das via IPsec verbunden ist, ist DNAT Intf. dann IPsec.
Liege ich da richtig?
Mach es doch mit Outbound NAT auf deinem VPN Interface.
Alles was aus dem VLAN kommt und in dein Remote Netzwerk möchte wird mit einer erlaubten Adresse überschrieben.
Oder trag das Netzwerk auf der VPN Seite mit ein. Ist wahrscheinlich die beste und stabilste Lösung. Mal ganz davon abgesehen, vielleicht hat es ja auch einen Grund weshalb das VLAN Netzwerk nicht rüber sollte.
Hi,
VPN Interface? Dafür gibt es auf der OPNsense keinen Interface.
Also die Sense baut gar keinen Tunnel auf.
Der Tunnel wird nur zwischen dem Cisco-Router und Rechenzentrum aufgebaut. Die Sense ist nur ein Gateway dazwischen. Cisco bekommt von der Sense auch ein eigenes Netz für sein "WAN"-Port.
Auf der Sense kommen dann statische Routen die dann die Pakete die für bestimmte Netze gedacht sind, über dem Cisco auch routen.
Vielleicht muss eine Sache klar sein: ich kann (darf) weder den Cisco konfigurieren (das passiert NUR ausschließlich durch die Kollegen aus dem RZ und unter gewissen Regeln) noch kann ich weitere Netze ins Tunnel ziehen. Die Einschränkung und dessen Begründung ist mir auch bekannt und angenommen.
Nichts desto trotz, will ich nicht, dass mir das eine Einschränkung im eigenen Netz darstellt.
So jetzt mal retour zu deinem Vorschlag:
Ich verstehe was du vorschlägst, jedoch das bedeutet auch, dass die Zugriffe ins RZ-Netz erfolgen über einem Target (einer IP). Bin mir nicht sicher ob das gewisse Funktionalitäten stören würde.
EDIT:
Wenn ich besser darüber nachdenke, geht gar nicht, denn 2 der Adressen muss eine bestimmte, im RZ eingetragene Adresse sein (also auch ein Server in RZ kommuniziert mit der übersetzten Adresse mit).
Daher muss ich einzelne Adressen auf bestimmte Adressen übersetzen.
Quote from: kosta on June 28, 2021, 08:19:07 PM
Hi,
VPN Interface? Dafür gibt es auf der OPNsense keinen Interface.
Also die Sense baut gar keinen Tunnel auf.
Der Tunnel wird nur zwischen dem Cisco-Router und Rechenzentrum aufgebaut. Die Sense ist nur ein Gateway dazwischen. Cisco bekommt von der Sense auch ein eigenes Netz für sein "WAN"-Port.
Auf der Sense kommen dann statische Routen die dann die Pakete die für bestimmte Netze gedacht sind, über dem Cisco auch routen.
Vielleicht muss eine Sache klar sein: ich kann (darf) weder den Cisco konfigurieren (das passiert NUR ausschließlich durch die Kollegen aus dem RZ und unter gewissen Regeln) noch kann ich weitere Netze ins Tunnel ziehen. Die Einschränkung und dessen Begründung ist mir auch bekannt und angenommen.
Nichts desto trotz, will ich nicht, dass mir das eine Einschränkung im eigenen Netz darstellt.
So jetzt mal retour zu deinem Vorschlag:
Ich verstehe was du vorschlägst, jedoch das bedeutet auch, dass die Zugriffe ins RZ-Netz erfolgen über einem Target (einer IP). Bin mir nicht sicher ob das gewisse Funktionalitäten stören würde.
EDIT:
Wenn ich besser darüber nachdenke, geht gar nicht, denn 2 der Adressen muss eine bestimmte, im RZ eingetragene Adresse sein (also auch ein Server in RZ kommuniziert mit der übersetzten Adresse mit).
Daher muss ich einzelne Adressen auf bestimmte Adressen übersetzen.
Mach doch Mal bitte einen grafischen Netzwerkplan (fehlt bei fast jedem Thread von dir, vielleicht von Anfang an mit anhängen) dann kann man dir besser erklären wie das klappen könnte.
Ja, fehlt, da ich den nicht immer automatisch dazu hänge.
Allerdings ist der Plan den ich posten kann noch die aktuelle Situation und nicht die neue.
Aber grundlegend bleibt es gleich, minus eine Internet-Leitung: wir haben bereits unsere neue Richtfunk-Leitung (mit LTE-Backup), und diese ist stabiler wie die aktuelle DSL und LTE gemeinsam.
Fakt ist die Adressen müssen statisch sein (genau zugewiesen) und nicht einfach ein genatetes Interface (was grundlegend ginge), aber wie gesagt, limitiert mich insofern, dass ich keine einzelne IPs zuweisen kann.
Daher interessiert es mich, ob mein Vorhaben von oben funktionieren würde.
Getestet wird sowieso erst in 3 Wochen (Urlaub).
Quote from: kosta on June 28, 2021, 08:42:53 PM
Ja, fehlt, da ich den nicht immer automatisch dazu hänge.
Allerdings ist der Plan den ich posten kann noch die aktuelle Situation und nicht die neue.
Aber grundlegend bleibt es gleich, minus eine Internet-Leitung: wir haben bereits unsere neue Richtfunk-Leitung (mit LTE-Backup), und diese ist stabiler wie die aktuelle DSL und LTE gemeinsam.
Fakt ist die Adressen müssen statisch sein (genau zugewiesen) und nicht einfach ein genatetes Interface (was grundlegend ginge), aber wie gesagt, limitiert mich insofern, dass ich keine einzelne IPs zuweisen kann.
Daher interessiert es mich, ob mein Vorhaben von oben funktionieren würde.
Getestet wird sowieso erst in 3 Wochen (Urlaub).
Also erstmal
Von wo nach wo soll es in dem Netzwerkplan gehen?
Und was bringt dieser wenn der die Situation nicht wirklich darstellt?
Dann
Also müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das und dann auch jedes Gerät mit einer eigenen IP?
OK, es ist etwas unklar: RZ ist nicht eingezeichnet. Hole ich nach.
Cisco-Router baut ein Tunnel zum RZ, ganz einfach. Und macht das via Sophos (aktuell), und via OPNsense zukünftig.
Bekommt dafür ein eigenes Netz (LAN) auf der OPNsense.
Ich habe noch keine Zeit gehabt den Plan auf die OPNsense anzupassen. Kommt aber.
QuoteAlso müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das ?
Genau, vollkommen richtig.
Und retour natürlich auch: RZ muss auf die gleiche IP im VLAN über eine IP aus dem LAN Netz kommen. (da RZ diese VLAN nicht tunnelt).
Quote from: kosta on June 28, 2021, 08:52:17 PM
Ich habe noch keine Zeit gehabt de
QuoteAlso müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das ?
Genau, vollkommen richtig.
Und retour natürlich auch: RZ muss auf die gleiche IP im VLAN über eine IP aus dem LAN Netz kommen.
Und wie stellst du dir das vor?
Selbst wenn die ganzen Geräte es einigermaßen unterscheiden können was wohin gehört.
Dir scheint es ja wichtig zu sein, die Geräte im RZ sollen zuordnen bzw. direkt adressieren können (sonst würde ja auch eine SammelIP bzw. ausgehenden NAT auf dem Interface gehen).
Für ausgehende Verbindung aus LAN und vlan mag es vielleicht klappen.
Aber wenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.
Also wenn du Geräte aus beiden Netzen adressieren möchtest bleibt nur die Möglichkeit das VLan Netzwerk ins RZ zu lassen (wüsste auch nicht was dagegen sprechen sollte).
Ich stelle es mir so vor, wie ich das bisher auch gemacht habe und was schon seit Jahren funktioniert.
Ich möchte es ja nur auf die OPNsense übertragen.
Genau das habe ich versucht in meinen ersten zwei Posts abzubilden.
Es ist zB. wichtig, dass unser Telefonie-Server vom RZ angesprochen werden kann. Alle Server sind allerdings im VLAN11. Mit der IP Adresse fängt RZ nix an (und halte es für nicht notwendig zu sagen für welche Firma ich arbeite, aber sagen wir mal es ist in Deutschland sehr bekannt). Und wenn die sagen es geht nicht, dann ist es so.
Bisher mache ich eben auf der Sophos eine Additional IP-Address, und dann SNAT und DNAT dazu. Und fertig. Funkt perfekt.
QuoteWenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.
Für mich ist logisch dass NAT vorm Netz steht, und NAT passiert bevor man ins Netz kommt?
Quote from: kosta on June 28, 2021, 09:17:40 PM
Ich stelle es mir so vor, wie ich das bisher auch gemacht habe und was schon seit Jahren funktioniert.
Ich möchte es ja nur auf die OPNsense übertragen.
Genau das habe ich versucht in meinen ersten zwei Posts abzubilden.
Es ist zB. wichtig, dass unser Telefonie-Server vom RZ angesprochen werden kann. Alle Server sind allerdings im VLAN11. Mit der IP Adresse fängt RZ nix an (und halte es für nicht notwendig zu sagen für welche Firma ich arbeite, aber sagen wir mal es ist in Deutschland sehr bekannt). Und wenn die sagen es geht nicht, dann ist es so.
Bisher mache ich eben auf der Sophos eine Additional IP-Address, und dann SNAT und DNAT dazu. Und fertig. Funkt perfekt.
QuoteWenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.
Für mich ist logisch dass NAT vorm Netz steht, und NAT passiert bevor man ins Netz kommt?
Nur weil es eine große Firma ist, heißt es lange nicht das Dinge immer sinnvoll sind [emoji23]
Die notwendigen Einstellungen sollten dann unter Firewall->Nat>1:1 sein.
;D ;D Stimmt.
Aber echt, komm, hör einfach mit der Einstellung, ist sinnlos.
One-to-One übersetzt doch die ganzen Netze, und nicht die einzelnen IP-Adressen?
Ahhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.
Danke, das werde ich versuchen.
Quote from: kosta on June 28, 2021, 09:26:44 PM
Ahhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.
Danke, das werde ich versuchen.
Stichwort BiNAT
Aber keine Ahnung ob es damit funktioniert, ist nur ne Vermutung.
Würde es selbst nicht so machen da es am Ende ein sinnloses verschaffen von Problemen ist.
Quote from: lfirewall1243 on June 28, 2021, 09:27:18 PM
Quote from: kosta on June 28, 2021, 09:26:44 PM
Ahhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.
Danke, das werde ich versuchen.
Stichwort BiNAT
Beide Richtungen, schon klar. Danke
Bin gespannt ob das funkt allerdings...
Denn wenn man IP Alias hat, kann man diese IP anpingen, und NATen.
Aber wenn man 1:1 verwendet, was macht 1:1 wenn jetzt RZ herkommt und will die IP im VLAN11 ansprechen? Entsteht durch 1:1 automatisch die angegebene Destination-IP im LAN?
Wenn BINAT auf VLA11 sitzt, was macht der dann im LAN-Netzwerk wirklich?
Ich brauche dann aber trotzdem zwei 1:1 Rules, oder? 1x am VLAN11 und 1x am LAN Interface?
Quote from: kosta on June 28, 2021, 09:31:46 PM
Bin gespannt ob das funkt allerdings...
Denn wenn man IP Alias hat, kann man diese IP anpingen, und NATen.
Aber wenn man 1:1 verwendet, was macht 1:1 wenn jetzt RZ herkommt und will die IP im VLAN11 ansprechen? Entsteht durch 1:1 automatisch die angegebene Destination-IP im LAN?
Wenn BINAT auf VLA11 sitzt, was macht der dann im LAN-Netzwerk wirklich?
Ich brauche dann aber trotzdem zwei 1:1 Rules, oder? 1x am VLAN11 und 1x am LAN Interface?
Das ist das was ich meine
Beispiel
Wenn du im LAN einen PC mit der IP 10.10.10.20/24 hast und du legst eine virtuelle IP mit der 10.10.10.20/24 an.
Nun soll eine Server im RZ Sachen an dein PC im Vlan schicken der hinter dieser Virtuellen IP steckt.
Also schickt er die Pakete zur 10.10.10.20/24
Woher soll da jetzt das Endgerät unterschieden werden?
Hä? Warum soll meine virtuelle IP haben die gleiche IP wie ein PC/Server? Doch Unsinn?
Die virtuelle IP ist eine freie IP-Adresse im vom RZ adressierbaren Bereich.
Die virtuelle IP im LAN dient ja als nichts anderes als Vermittler zwischen VLAN11 und RZ.
Quote from: kosta on June 28, 2021, 09:40:22 PM
Hä? Warum soll meine virtuelle IP haben die gleiche IP wie ein PC/Server? Doch Unsinn?
Die virtuelle IP ist eine freie IP-Adresse im vom RZ adressierbaren Bereich.
Die virtuelle IP im LAN dient ja als nichts anderes als Vermittler zwischen VLAN11 und RZ.
Also doch nur eine IP Adresse aus dem LAN?
Entweder nur eine "SammelIP" oder eben für jeden Client ne eigene. Wird dann nur echt blöd wenn die Netze wachsen.
Falls letzteres legst du im Endeffekt eine VIP LAN-Bereich für jeden Client aus dem vlan an, darauf dann 1:1 Nat auf die richtige IP.
Außerdem outbound NAT für die jeweiligen clients damit diese mit der VIP im RZ ankommen.
Ja, ein Gerät auf eine IP. Mehrere Geräte, mehrere IPs. Aber jede IP für EIN Gerät (Server in meinem Fall).
Sammel-IP kann ich gerne nehmen wenn es nicht ausschlaggebend ist, ob RZ den Server auch ansprechen muss (wie gesagt, Telefonie-Server und Telefone sind solche Kandidaten).
Aber ja, gebe dir Recht dass es blöd wird, wenn das Netz wächst. Wird aber voraussichtlich noch viele viele Jahre nicht. Mit so einem Wachstum mache ich mir zu Zeit sehr wenig Sorgen.
Mir geht es nur darum erstmal die aktuelle Konfiguration der Firewall zu übernehmen. Nachher kann ich natürlich einzeln immer schauen ob ich wo was optimieren kann. Da ich aber drei Projekte gleichzeitig mache, möchte mir keine weiteren Baustellen öffnen.
Quote from: lfirewall1243 on June 28, 2021, 09:40:59 PM
Quote from: kosta on June 28, 2021, 09:40:22 PM
Hä? Warum soll meine virtuelle IP haben die gleiche IP wie ein PC/Server? Doch Unsinn?
Die virtuelle IP ist eine freie IP-Adresse im vom RZ adressierbaren Bereich.
Die virtuelle IP im LAN dient ja als nichts anderes als Vermittler zwischen VLAN11 und RZ.
Also doch nur eine IP Adresse aus dem LAN?
Entweder nur eine "SammelIP" oder eben für jeden Client ne eigene. Wird dann nur echt blöd wenn die Netze wachsen.
Falls letzteres legst du im Endeffekt eine VIP LAN-Bereich für jeden Client aus dem vlan an, darauf dann 1:1 Nat auf die richtige IP.
Außerdem outbound NAT für die jeweiligen clients damit diese mit der VIP im RZ ankommen.
Das sollte klappen.
Mal was anderes.
Wenn es so eine große Firma ist und dort groß auf ein freies Produkt umgestellt wird.
Wie wäre es denn da das Thema hinter OPNsense durch z.B. eingekauften Support, Business Edition oder Hardware Kauf etwas zu unterstützen?
Die Umstellung wurde am Ende wahrscheinlich weniger Zeit und Nerven kosten und das Projekt wäre auch Unterstützt
Weil wir eine (unabhängige) GmbH in Österreich sind und Tochter-Gesellschaft des Konzerns in Deutschland sind.
Außerdem geht es auch meinem Chef von unseren Konzern unabhängig zu sein.
Wer sagt dass ich/wir OPNsense nicht unterstützen?
Ich habe bereits Business Edition gekauft, Support ist "Pending", ich warte noch auf Rückmeldung der Firma, aber Budget für den Support ist freigegeben. Hardware wurde von Landitec bereits gekauft und heute eingebaut.
Quote from: kosta on June 28, 2021, 09:55:16 PM
Weil wir eine (unabhängige) GmbH in Österreich sind und Tochter-Gesellschaft des Konzerns in Deutschland sind.
Außerdem geht es auch meinem Chef von unseren Konzern unabhängig zu sein.
Wer sagt dass ich/wir OPNsense nicht unterstützen?
Ich habe bereits Business Edition gekauft, Support ist "Pending", ich warte noch auf Rückmeldung der Firma, aber Budget für den Support ist freigegeben. Hardware wurde von Landitec bereits gekauft und heute eingebaut.
Alles gut:)
War ja nur eine Anmerkung