Hallo zusammen,
ich brauche bei folgendem Szenario mal etwas hilfe, ob/wie das überhaupt umsetzbar ist.
Es geht dabei um eine IPSec S2S Verbindung, die leider so vorgegeben ist, Wireguard etc. ist also keine Option.
Netze:
Mein LAN: 192.168.184.0/24
Zugelassenes Netz/Tunnel Netz: 192.168.100.96/28
Remote Netz: 192.168.200.0/24
Nun kann die Remote Seite nichts mit Paketen aus dem LAN Netz anfangen, wird das in der IPSec angegeben, kommt die Verbindung garnicht hoch.
Daher sollen alle Pakete von einer IP aus dem Tunnel Netz kommen, z.B. 192.168.100.97/32. Die VPN kommt hoch, allerdings bekomme ich kein NAT ans laufen.
Folgendes ist bereits Umgesetzt:
IPSec (Phase1+Phase2) sind aktiv.
Zusätzlich sind als manuelle Sicherheitsregel unter "Datenbank Sicherheitsregelwerk" das LAN -> Remote Netz hinterlegt.
Der Datenverkehr läuft über die IPSec Schnittstelle, ein Paketmitschnitt zeigt das.
Was nicht klappt:
Die Pakete auf dem IPSec Interface haben als Quelle noch die originale aus dem 184.0/24 Netz, nicht dem TunnelNetz.
Dazu wurde bereits entweder unter Outbound NAT:
Interface: IPSec
Quelle: 192.168.184.0/24
Ziel: 192.168.200.0/24
MapIP: 192.168.100.97/32
ODER
Unter 1:1 NAT:
Interface: IPSec
Typ: NAT
Externes Netz: 192.168.100.97/32
Quelle: 192.168.184.0/24
Ziel: 192.168.200.0/24
ODER
In den Erweiterten Sicherheitsregeln nur ein einzelnes Geräte, z.B. 192.168.184.10/32 hinterlegt.
Unter 1:1 NAT:
Interface: IPSec
Typ: BiNAT
Externes Netz: 192.168.100.97/32
Quelle: 192.168.184.10/32
Ziel: 192.168.200.0/24
Alles leider ohne Erfolg. Die Pakete gehen weiterhin mit einer 184.0 IP raus und werden dann von der Gegenseite natürlich verworfen.
Hat hier jemand eine Idee?
Vielen Dank!