Hallo zusammen,
ich habe aktuell mal wieder ein kleines Problem bezüglich IPsec VPN auf der OPNsense 20.1.7 (virtualisiert).
Es handelt sich um Site-To-Site IPsec VPN (IKEv1) mit zwei Phase2 Einträgen. Aktiviert ist Tunnel Isolation und entsprechende SPD Entries für das Source NAT.
"Outgoing NAT" wurde ebenfalls für beide Netze der Phase2 konfiguriert.
Jedoch funktioniert der "genattete" Zugriff nur für je eine Phase2. Ohne NAT (direkt aus dem im VPN konfigurierten Netz) funktioniert der Zugriff auf beide Zielnetze einwandfrei.
Gibt es da noch irgendwo einen Trick, Kniff oder eine Info wie ich das angehen kann? Oder funktioniert das schlichtweg nicht? In meiner vorherigen FortiGate funktionierte sowas wunderbar. Das fehlt mir aktuell ein wenig.
Vielen Dank im Voraus!
Da man diesen Thread als erstes Ergebnis in Google bekommt, schreibe ich hier die Lösung des Problems.
- In Phase1 muss "Tunnel Isolation" und "Install Policy" aktiviert sein.
- In jeder Phase 2 muss ein SPD Eintrag gesetzt werden, und zwar von den Netzen/IPs welche in den Tunnel geNATet werden sollen. (z.B. 192.168.2.0/24)
- Es muss ein manuelles Outbound NAT gesetzt werden. Das Interface der Regel ist IPSEC.
Diese Konfiguration funktioniert zwischen 2 Geräten die Strongswan nutzen (Opnsense - XG Firewall)