Hallo zusammen,
wir verwenden Policy Based IPSEC für die Kommunikation mit drei Kundennetzwerken über VPN.
Wir haben uns auf ein Absendenetz geeinigt, hierfür habe ich eine Outbound NAT Regel eingerichtet die besagt: "any to Alias Kundennetze -> Verstecke hinter 10.10.10.0/24"
nat on enc0 inet from any to <KundeRemoteNetworks> -> 10.10.10.0/24 port 1024:65535
[ Evaluations: 12303190 Packets: 574712 Bytes: 196748636 States: 0 ]
[ Inserted: uid 0 pid 97612 State Creations: 53 ]
Die Verbindung steht, für Traffic aus dem LAN greift die NAT Regel, die Pakete werden somit korrekt über VPN geschickt.
Für Kollegen, die sich über Client-OpenVPN einwählen, greift die NAT Regel ebenfalls, der Traffic wird über VPN geschickt.
Für Verbindungen über Wireguard greift die NAT Regel nicht, Pakete werden an das WAN Interface geschickt.
Für Traffic der aus unserer Aussenstelle über IPSEC eingeht, greift die Regel ebenfalls nicht, Pakete gehen an das WAN Interface.
Ich sehe den Evaluations Counter steigen.
Was habe ich übersehen?
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-conn-binat.html#preparations
Damit NAT regeln für IPSEC greifen braucht es einen manual SPD entry die das Netz was genattet werden soll erlaubt.
Vielen Dank, für die OpenVPN hatte ich die tatsächlich eingetragen und dann komplett vergessen.