Guten Morgen in die Runde,
folgendes Problem:
Eine Anwaltskanzlei hatte eine SOPHOS UTM, welche ich durch eine OPNsense ersetzt habe. Grundsätzlich funktioniert alles inkl. Mailgateway für den eigenen Exchange usw. Vor der OPNsense sitzt eine Fritz!Box (192.168.178.1), die die Einwahl macht und in welche ein Exposed-Host auf das WAN-Interface der OPNsense gesetzt ist.
Es gibt neben den Interfaces WAN (192.168.178.2) und LAN (192.168.10.254) noch eins, welches Testamentsregister (192.168.9.254) heisst. An diesem hängt eine sog. Notariatsbox. Das ist ein Cisco-Router, welcher einen VPN-Tunnel zur Bundesnotarkammer stellt.
Wenn die Arbeitsplätze die Notarsoftware XNP öffnen, dann wird geprüft, ob vier Netze 77.76.214.0/23, 185.47.125.0/24, 185.47.126.0/24 und 185.47.126.0/24 erreichbar sind.
Bei der UTM war dazu eine Netzwerkgruppe "NG Testamentsregister" angelegt, in welcher diese vier Netze enthalten waren. Dazu gab es eine Statische Route von dieser Netzwerkgruppe auf die IP der Cisco-Box. Diese hat die IP-Adresse 192.168.9.147.
Ferner gab es auf der Sophos eine NAT-Regel, für das Netz Testamentsregister raus ins Internet, sowie zwei Firewall-Regeln, dass sowohl aus dem LAN ins Testamentsregister-Netz und umgekehrt geroutet werden darf.
Jetzt zur OPNsense:
Das Interface ist entsprechend eingerichtet. Die Cisco-Box hängt an eth2 und ist aus dem LAN anpingbar. Es gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?
Firewall-Regeln habe ich auch noch die globalen "ich darf alles in jede Richtung", die die OPNsense standardmäßig hat. Ich habe die Regeln ebenso für das Testamentsregister-Netz angelegt.
Ich habe ein zweites Gateway angelegt, welches die IP der Cisco-Box hat und als Mark Down gesetzt. Dann habe ich vier statische Routen angelegt. Jeweils ein Netz der Bundesnotarkammer auf das Gateway "Cisco-Box".
Wenn nun auf den Clients die Notarsoftware gestartet wird, dann sagt diese, dass kein Internet vorhanden sei. Mache ich ein Traceroute von einem Arbeitsplatz auf ein Netz der Bundesnotarkammer, dann sehe ich in der ersten Zeile das WAN-Interface der OPNsense. In der zweiten Zeile die IP-Adresse der Cisco-Box und dann nur noch Zeitüberschreitung. Es scheint so, als kommt die Cisco-Box nicht über das WAN-Interface raus.
Wo liegt hier der Hase im Pfeffer begraben? Ich bilde mir ein, alles korrekt übernommen zu haben.
Vielen Dank für Eure Unterstützung im Voraus.
Gruß
Christoph
... oder kann ich beim Traceroute den Weg ins Internet nicht sehen, da die Cisco-Box den Traffic über seinen Tunnel sendet? Die LED, die eine stehende Tunnelverbindung anzeigt, leuchtet. D.h. der Tunnel ist sauber aufgebaut.
Quote from: cklahn on June 07, 2025, 07:46:35 AMEs gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?
Hallo,
du meinst Outbound NAT, denke ich.
Nein, die gilt nur für das Interface, auf dem sie definiert ist, also WAN.
Die Regel ist aber auch untypisch. Automatisch werden normalerweise nur Regeln für die lokalen Subnetze als Quelle generiert.
Du benötigst auf jeden Fall auch eine Regel auf dem Testamentsregister Interface für die Quelle LAN net und mit Interface Address als Translation Address.
Das Outbound NAT muss auch in den Hybriden Modus geschaltet werden, damit die Regel greift.
Sonst sollte alles in Ordnung sein.
Grüße
Hi,
klasse, das wars. Vielen Dank.
Habe eine Netzwerkgruppe mit den vier Netzen der Bundesnotarkammer angelegt und die Outbound-NAT-Regel im Hybrid-Modus gesetzt. Alles Paletti.
Danke nochmal.
Gruß
Christoph