OPNsense Forum

International Forums => German - Deutsch => Topic started by: Somebody on December 13, 2018, 09:49:33 am

Title: IPSec NAT Probleme
Post by: Somebody on December 13, 2018, 09:49:33 am
Hallo liebe Foren Gemeinde,

ich bin frisch zu OPNsense gewechselt und konnte mir bisher ganz gut selber weiterhelfen.
Jetzt bin ich in den letzten Konfigurationsschritten um unsere alte Firewall abzulösen.

Leider bin ich kein kompletter Netzwerk Experte weshalb mir der IPSec und das dazugehörige NAT noch etwas Kummer bereitet. Ich hoffe das mir hier jemand weiterhelfen kann.

Wir haben folgendes Szenario:

Code: [Select]
+------------------------+                 +---------------------------+             +-------------------------------+
|   Standort Lieferant   |                 |    Interner Drucker       |             |    Tatsächliche Drucker IP    |
|                        |-----------------|                           |-------------|                               |
|   22.22.22.22          |                 |    10.10.10.11            |             |    199.144.231.25             |
+------------------------+                 +---------------------------+             +-------------------------------+
            |         |                                                                                               
            |         |                                                                +-----------------------------+
            |         |                                                                |    Clients via RDP auf RDS  |
            |         +----------------------------------------------------------------|                             |
            |                                                                          |    XXX.XXX.XXX.XXX          |
            |                                                                          +-----------------------------+
            |                                                                                                         
            |                                                                                                         
+--------------------------+                +----------------------------+                                           
|    Firmenstandort        |                |  Temp Netzwerk             |                                           
|                          |----------------|                            |                                           
|    WAN 44.44.44.44       |                |  192.168.55.0/24           |                                           
+--------------------------+                +----------------------------+                                           
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                                            |                                                         
                                             +----------------------------+                                           
                          -                  |    Remote Desktop Server   |                                           
                                             |                            |                                           
                                             |        192.168.11.55       |                                           
                                             |                            |                                           
                                             +----------------------------+   

An unserem Firmenstandort haben wir die OPNsense stehen.
Die Gegenseite hat ihr NAT schon eingerichtet nun muss ich auf meiner Seite nachziehen.

Ziel ist es das die Clients sich über RDP auf den Remote Desktop Server verbinden können.
Da das eigentliche Netzwerk des RDS Servers auf der Gegenseite schon belegt war musste ich hier ein anderes Netzwerk angeben (192.168.55.0/24) diese RDP Anfragen muss ich jetzt auf den RDS Server 192.168.11.55 NAT´en.

Andersrum muss ich die Drucks vom RDP Server wieder auf die korrekten Drucker im Netzwerk der Gegenseite umleiten.

Ich hoffe Ihr versteht die Problematik vor welcher ich stehe, ich sehe gerade den Wald vor lauter Bäumen nicht mehr :)

Hoffentlich kann mir jemand bei diesem Fall helfen.

Vielen Dank schonmal.

Br,
Somebody
Title: Re: IPSec NAT Probleme
Post by: mimugmail on December 13, 2018, 11:43:23 am
https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-binat.html
Title: Re: IPSec NAT Probleme
Post by: Somebody on December 13, 2018, 04:32:02 pm
Hi Mimugmail,

okay das macht Sinn, ich habe es versucht zu konfigurieren... Meine VPN Tunnel stehen, also sowohl Phase 1 als auch Phase 2 zeigen mir an das sie connected sind. Aber leider bekomme ich keinen Ping auf die Gegenseite und die Gegenseite keinen Ping zu mir.

Ich glaube ich habe immer noch in meiner NAT Konfiguration das Problem, bei der Firewall Policy habe ich aktuell alles erlaubt.

Ich habe jetzt anhand meines Beispiels oben folgendes in der NAT Regel definiert:

Interface: IPSec
Type: BINAT
External network: 192.168.55.0/24
Source: 192.168.11.0/24
Destination: 199.144.231.0/24

Zusätzlich habe ich noch den manuellen SPD im IPSec auf 192.168.11.0 gesetzt.

So habe ich es zu mindestens in der Anleitung zu BINAT verstanden :( Aber es ist scheinbar nicht korrekt und ich bin auf dem Holzweg...

Ich bin da aktuell ein bisschen Ratlos, wäre super wenn mir das mit dem BINAT nochmal jemand erklären könnte.

Vielen Dank schonmal.

Grüße
Somebody
Title: Re: IPSec NAT Probleme
Post by: mikehps on December 14, 2018, 08:50:10 am
Hi,

https://forum.opnsense.org/index.php?topic=10438.msg48460#msg48460

lg
Michael
Title: Re: IPSec NAT Probleme
Post by: mimugmail on December 14, 2018, 08:52:59 am
Hi,

https://forum.opnsense.org/index.php?topic=10438.msg48460#msg48460

lg
Michael

Danke, den hatte ich gesucht :)
Title: Re: IPSec NAT Probleme
Post by: Somebody on December 14, 2018, 03:01:00 pm
Hi Leute,

vielen Dank für die Hilfe.

Ich versuche aktuell verzweifelt den Workaround zu implementieren... Allerdings scheitere ich dabei die Befehle im Putty abzuschicken:

Code: [Select]
setkey -f spd.conf
Code: [Select]
spdadd 192.168.101.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/[Local Public IP]-[Remote Public IP]/unique:2;
Ich habe diesen Thread hier dazu gefunden welcher mein Problem ziemlich genau beschreibt:

https://forum.opnsense.org/index.php?topic=9683.msg44153#msg44153

Mein vorgehen:

- Putty via SSH auf meine OPNsense
- Anmeldung als root
- 8 (Shell)

Dann erhalte ich aber folgenden Fehler wenn ich den ersten Befehl eingebe:

Code: [Select]
root@OPNsense:~ # setkey -f spd.conf
setkey: fopen: No such file or directory

Sorry für die Noob Frage, aber ich mach irgendetwas falsch. Könntet ihr mich dahingehend erleuchten?

Vielen Dank

Beste Grüße
Somebdoy
Title: Re: IPSec NAT Probleme
Post by: mimugmail on December 14, 2018, 04:19:50 pm
Naja, du musst den Content halt in eine Datei spd.conf schreiben und diese laden .. lies das noch mal in Ruhe durch .. eigentlich geht dein Setup auch ohne den Workaround
Title: Re: IPSec NAT Probleme
Post by: Somebody on January 09, 2019, 10:27:33 am
Hallo,

sorry hat ein paar Tage gedauert mit Urlaub und Problem Analyse.

Ich habe es jetzt mit One-to-One NAT hinbekommen das die Gegenseite mich pingen kann und ich sie. RDP vom Lieferanten Netz zu uns funktioniert auch.

Allerdings habe ich jetzt noch ein Problem und weiß nicht genau wo ich dieses Lösen muss. Vielleicht hat jemand von euch eine Idee.

Wenn ich den Port 9100 für Drucker über Telnet testen will klappt das nicht.

Ich habe jetzt mit dem Firewall Admin der Gegenseite telefoniert und dieser hat mir gesagt das meine Request über meine Gateway IP ankommen und nicht über meine "(interne) Fake IP).

Deshalb werden die Packete denied.

Ich dachte ich hätte das von meiner Seite über die BINAT Regel schon richtig konfiguriert, aber scheinbar ist dem nicht so.

Gerade sehe ich das mein ICMP Request auch über meine Gateway IP läuft....

Um bei meinem Beispiel zu bleiben:

Request läuft über: WAN 44.44.44.44
Sollte aber über: (192.168.11.55 Remote Desktop Server) ->192.168.55.55

Meine aktuelle One-to-One NAT Regel sieht wie folgt aus:

Interface: IPSec
Type: BINAT
External network: 192.168.55.0/24
Source: 192.168.11.0/24
Destination: 199.144.231.0/22

Wäre super wenn jemand eine Idee hätte.

Vielen Dank schon mal.

Grüße
Somebody
Title: Re: IPSec NAT Probleme
Post by: mimugmail on January 09, 2019, 12:23:49 pm
Oh, kannst du mal nach BINAT und different subnet mask suchen? Ich glaube da mal was gelesen zu haben ...
Title: Re: IPSec NAT Probleme
Post by: Somebody on January 09, 2019, 02:06:19 pm
WoW, super es läuft.... man wahnsinn, ich fass es nicht :)

Endlich!!!

Jetzt muss ich nur noch den Tunnel ins HA Cluster bekommen und ich bin happy.

Vielen Dank für eure Unterstützung.

Und falls ein anderer Verzweifelter suchen sollte, es lag bei mir am Outbound NAT jetzt zum ende...

Da bin ich jetzt aber auf die einzelnen IP´s der Drucker gegangen, sicherheitshalber wegen verschiedenen Subnetzen....

Also anhand meines Beispiels:

Interface: WAN

Source: 192.168.11.55
Port: any

Destination:  199.144.231.25
Port: any

Translation: 192.168.55.55/32


Tausend Dank nochmal für eure Unterstützung.

Beste Grüße
Somebody