Hallo Forum-Mitglieder,
mein Ziel ist, hinter einem bestehenden VPN, ein dahinterliegendes Netzwerk zu erreichen.
Vom Client-Netzwerk 192.168.88.0/28 zu 10.19.1.10 besteht über den IPSEC Tunnel Verbindung. Das bedeutet, vom Client kann ich das Gateway 10.19.1.10 erreichen.
Jetzt muss ich der OPNSense mitteilen, dass hinter dem Gateway 10.19.1.10, das Netz 172.10.1.0/24 erreichbar ist.
Ich habe dafür auf der OPNSense ein Gateway 10.19.1.10 angelegt (WAN) und eine Routing Regel entsprechend ins 172.10.1.0/24 konfiguriert.
Mein PING auf die 172.10.1.10 funktioniert nicht. Die FW Regel an der OPNSense stellt dar, dass der PING ans WAN Interface geht.
Meiner Meinung nach müsste es jedoch in den IPSEC gesendet werden. Und hier sehe ich das Problem.
Benötige ich ein eigenes Interface um dieses Szenario darzustellen?
Ich habe bisher nichts gefunden, oder überlesen wo solch ein Szenario abgebildet ist.
Vielen Dank schon Mal, Gruß Heiko
Du musst in den Phase 2 SAs des IPsec-Tunnels auf beiden Seiten das zusätzliche Netz konfigurieren. Routing ist nicht irgendwie transitiv. Also beim Client muss 172.10.1.0/24 mit in die "remote" Netze und auf der anderen Seite muss 172.10.1.0/24 mit in die "local" Netze der Tunnel-Konfiguration.
ok, ich habe darüber schon einmal nachgedacht, es dann aber wieder verworfen.
Ich meinte ich kann muss das über eine Routingregel klären. Ich habe den Kunden geschrieben ob wir das Netz mit in den Tunnel nehmen können. Mal sehen...
Danke schon Mal für deine Meinung ich werde testen und berichteten.
Das ist keine Meinung - du kannst bei einem IPsec-Tunnel keine Route zu einem Netz auf der anderen Seite hinzufügen ohne Änderung an der Gegenstelle. :)
Du kannst mit manuellen SPDs und NAT ein zusätzliches Netz auf deiner Seite hinzufügen und vor der Gegenstelle verbergen, aber das ist ja nicht, was du willst. Die Gegenstelle kontrolliert, was auf der anderen Seite erreicht werden kann und was nicht.
danke für dein Feedback. :)
Ich denke, ich habe mich nicht richtig ausgedrückt. Die Route meinte ich auf meiner Seite!
Quasi, wenn der Client nach 172.10.1.0/24 will, soll er über das im Tunnel befindliche GW 10.19.1.10 gehen
Bisher werden die Pakete auf die WAN SST auf meiner OPNSense und nicht in den IPSEC
Mein Partner auf der anderen Seite möchte nur das GW 10.19.1.10 im Tunnel lassen.
Quote from: holehner on August 14, 2024, 01:51:06 PM
Ich denke, ich habe mich nicht richtig ausgedrückt. Die Route meinte ich auf meiner Seite!
Quasi, wenn der Client nach 172.10.1.0/24 will, soll er über das im Tunnel befindliche GW 10.19.1.10 gehen
Das geht nicht ohne Zutun des Partners, auf dessen Seite 10.19.1.10 und 172.10.1.0/24 liegen.
Versuchen wir mal einen anderen Erklärungsansatz:
Wenn wir einen Tunnel bauen, definieren wir "interesting Traffic", also das was in den Tunnel soll.
Alles Andere kann am Tunnel vorbei über das Default-Gateway erreicht werden.
Ein Traceroute kann das sehr gut darstellen - je nachdem was der erste Hop ist: Default- oder Tunnel-Gw
Damit nicht eine Seite eigenmächtig entscheiden kann, wer oder was auf der anderen Seite erreichbar ist, müssen diese Tunnel-Netze gegenseitig eingetragen werden! Schließlich ist so ein Tunnel eine Sicherheitsmaßnahme ;)
Hallo Zusammen,
vielen Dank für eure Antworten. :)
Bislang habe ich noch keine Rückmeldung vom Partner, werde dran bleiben....