Hi!
Finde dazu sonst im Forum und im Internet nix und es könnte eine einzigartige Netzwerk-Anforderung sein.
Über einen IPSec-Tunnel gibt es 2 Netzwerke:
Lokales Subnetz: 192.168.123.1/24
Remote-Netzwerk 172.20.20.1/16
Das Remote-Netzwerk hat nur einen Host, der freigeschaltet ist: 172.20.20.100 und der funktioniert nur von der IP 192.168.123.100
Damit das ganze lokale Subnetz Zugriff hat, haben wir die OpnSense auf 192.168.123.100 gesetzt und eine Outbound Source-NAT zu 172.20.20.100 gemacht. So werden alle Anfragen an den Remote-Computer von 192.168.123.100 gesendet und alle haben Zugriff, nicht nur der die eine IP-Adresse.
Das funktioniert auch.
Jetzt will ich zusätzlich externen Clients Zugriff geben und habe Wireguard gemacht mit IPs 10.0.0.1/24.
Die Wireguard-CLients haben aber keinen Zugriff auf 172.20.20.100 0der 172.20.20.1 (Remote-Firewall).
Ich glaube, das deswegen weil in den IPSec-Einstellungen bei Phase2 das Lokale Subnet als lokales Subnetz angegeben ist. Das kann ich auf Wireguard-Netzwerk ändern und schon funktioniert der Zugriff. Und zwar sogar aus beiden Netzen, lokal und per wireguard.
Wird die Opnsense neugestartet, gibts dann aber keinen Zugriff mehr, weder lokal noch per wireguard. Außerdem können Wireguard-CLients gar nicht ins Internet. Das Problem behebe ich immer indem ich eine Wireguard-Firewall Regel die alles erlaubt deaktiviere und aktiviere und schon funktioniert es wieder.
Es sollten ALLE Anfragen an 172.20.20.100 als 192.168.123.100 rausgehen. Lokales Subnetz als auch Wireguard.
Lokal funktioniert es wegen in IPSEC-Einstellungen das lokale Subnetz angegeben wird, aber dann gehts nicht per Wireguard.
Wie löse ich das Problem, sodass ALLE Netze zu 172.20.20.100 zugreifen können und das per Outbound Source-NAT als 192.168.123.100 ?
Ich komme leider nicht auf die Lösung und glaube, das Problem muss trivial einfach sein?
Lg, R
Ich versteh das nicht ganz so wirklich:
Hab das Wireguard-Netzwerk ins LAN-Netzwerk mit den IPs gesetzt:
192.168.123.200/24 und .201/32 der erste Client.
Hat sofort funktioniert.
Auch das Outbound SourceNAT funktioniert sofort.
Nur ganz versteh ichs nicht. per IP-Adressen würd ichs verstehen aber widerstrebt das nicht dem Verständnis unterschiedlicher Netze/Netzwerke in OpnSense? Wieso funktioniert es dann nicht mit einem anderen IP-Netz in Wireguard? Ist da eine Bridge zu setzen oder eine Route?
Hallo,
das sollte mit einer NAT 1:1 Regel zu machen sein, denke ich:
Interface: IPSec
Type: NAT
External: 192.168.123.100/32
Source / Internal: 10.0.0.1/24
Destination: 172.20.20.100/32
Ohne Garantie.
Grüße
Hm, habe das versucht nur fehlen mir dort die Angaben zu machen?
Firewall-> One to One NAT ? Wenn ich das versuche kommt bei mir: "External subnet should match internal subnet." bei External Network
Wenn ich ein Wireguard-Netz verwende (also zweite Instanz), das anders ist als das interne Subnetz-IP-Adressen, dann funktioniert es weiterhin nicht. Mit dem Wireguard-Netz was die IP-Adressen nutzt wie das LAN-Netzwerk, dann funktioniert es.
Versteh ich irgendwie weiterhin nicht.
Hast du es genau nach meinen Angaben umgesetzt?
Type: NAT
?
zuerst mal großes Danke für deine Antworten!
Habe versucht die One to One NAT zu machen. Oder meintest du Port Forward NAT?
Ich krig aus dem Wireguard-Netz nicht mal einen Ping zu dem Client, also als würde die OpnSense das nicht dorthin routen.
Das ganze IPSec-Netz ist nicht erreichbar.
Hab das Gefühl als wäre es weniger etwas mit NAT als überhaupt das Wireguard-Netz weiterleiten zu lassen.
Tracert gibt mir nur als erstes die Opnsense an und danach nur mehr Zeitüberschreitungen.
Kann ich kontrollieren, wo meine aus dem Wireguard-Netz Pakete hingehen?
Eine NAT one to one Regel sollte das sein.
Das Wireguard ist ein Access Server, keine Peer to Peer, richtig?
Dann Wireguard müsste wahrscheinlich das Tunnel Subnetz noch in IPSec als Manual SPD hinzugefügt werden.
Mir ist eigentlich nicht klar, wie du das für das LAN genau gelöst hast. Hätte nicht gedacht, dass dies mit Outbound NAT bei IPSec funktioniert. Im Grunde ist es eh nur das, was nötig ist. In die andere Richtung geht ohnehin kein Traffic. Aber möglicherweise schließt die eine Regel die andere aus.
Eine virtuelle IP auf der OPNsense sollte übrigens nicht nötig sein. NAT reicht für Zugriff auf die Remoteseite.
Danke für deine Antwort. Habs ausprobieren wollen, aber leider ganz raff ichs nicht.
Mit der Outbound funktionierts im LAN-Netzwerk. Aber nicht mit Wireguard von einem anderen Netz. Weiterhin das Problem.
und die One-to-One NAT Regel kann ich nicht eintragen weil ich nicht ganz weiß wo ich was wie eintragen soll.
Darf ich noch um Hilfe bitten?
Dein Screenshot zeigt leider keine Werte. Hast du es mit den o.a. versucht?
Also korrekt:
Interface: IPSec
Type: NAT
External: 192.168.123.100/32 (Wenn Netzwerke in CIDR Notation angegeben werden, sollten auch Netzwerkadressen verwendet werden.)
Source / Internal: 10.0.0.0/24
Destination: 172.20.20.100/32
Und hast du 10.0.0.0/24 als Manual SPD zur IPSec Phase 2 hinzugefügt?