OPNsense Forum

International Forums => German - Deutsch => Topic started by: superwinni2 on June 24, 2019, 03:10:26 pm

Title: IPSec richtig NATten?!?
Post by: superwinni2 on June 24, 2019, 03:10:26 pm

Hallo zusammen


bräuchte mal etwas Hilfe bezüglich dem NATten von IPSec Verbindungen wenn auf beiden Seiten der gleiche Netzbereich benutzt wird.
Ein Dienstleister muss auf 2 verschiedene System von uns kommen. Diese haben die IP 10.10.10.5 und 10.10.10.11


Nun hat uns der Dienstleister gebeten dies dementsprechend auf den Netzbereich 172.19.15.0/24 zu NATten.
Der Netzbereich des Dienstleisters ist: 10.21.0.0/16
Wie mache ich dies? Habe bereits schon etwas rumgespielt... Hat aber leider nichts zum Erfolg gebracht  :-\


Der IPsec Phase1 Tunnel steht.
Nat Traversal ist aktuell beim Phase1 auf "disable".. Muss man das ändern!?!


Bei Phase 2 habe ich folgendes eingetragen:


Local Network: Network       172.19.15.0/24
Remote Network: Network          10.21.0.0/16
Verschlüsselungen sind ebenfalls richtig eingestellt.

Ich sehe in "Status Overview" dass auf der Verbindung Bytes reinkommen. Aber nichts rausgeht.


Die Anleitung bezüglich dem 1:1 NAT habe ich gesehen, aber nciht so recht versanden.. Daher hier meine Frage...
Danke schonmals für die Hilfe.

Title: Re: IPSec richtig NATten?!?
Post by: matzeeg3 on June 24, 2019, 05:04:43 pm

Hey, die Frage ist auf welcher Seite soll es zum SNAT kommen.
Kannst du das besser beschreiben?

Gruß
Matze

Title: Re: IPSec richtig NATten?!?
Post by: superwinni2 on June 24, 2019, 05:08:54 pm

Wie meinst du besser beschreiben?


Es soll sozusagen auf meiner Seite geNATtet werden...

Title: Re: IPSec richtig NATten?!?
Post by: matzeeg3 on June 25, 2019, 07:55:09 am

Also willst du folgendes:
Local Site         Nat Network                   Remote Site
10.10.10.0/24    172.16.15.0/24             10.21.0.0/16
Sodass, alles was der DL machen will bei euch genattet ankommt?

Title: Re: IPSec richtig NATten?!?
Post by: superwinni2 on June 25, 2019, 09:37:20 am

Also ich habe es nun hinbekommen...
Der tolle Mitarbeiter vom DL hat mir (gestern) erstmal nen falsches Netzwerk (in Phase2) durchgegeben und dann noch darauf beharrt.
Heute erneut angerufen und mit jemand anderem gesprochen, die richtigen IPs eingetragen und zack... Alles läuft.
Was habe ich in den NAT einstellungen eingetragen:

Code: [Select]

Interface: IPsec
Type: BINAT
External IP:    172.16.15.0 /24
Internal IP:    10.10.10.0  /24
Destination IP: 10.21.80.0  /24  (Hier findet man nun auch den Fehler... Das Richtige Netz war 10.21.80.0/24 )
NAT reflection: Disable


PS. Firewallregeln nicht vergessen ;)

Title: Re: IPSec richtig NATten?!?
Post by: JeGr on June 28, 2019, 11:41:54 am

> Heute erneut angerufen und mit jemand anderem gesprochen, die richtigen IPs eingetragen und zack... Alles läuft.

Mein Beileid. Hatte ich erst letzte Woche mit einem Mitarbeiter der Telesec/Telekom - gruselig. "Joa mei, mia ham da AES-GCM und die IP die basst joa au..." - ja nix passt. IP war dann plötzlich was ganz anderes (also komplett anders, nicht nur falsch gehört) und GCM... ja alles was über AES-CBC rausgeht scheint selbst 2019 noch in vielen "Experten Geräten" von "namenhaften Herstellern" graue Theorie zu sein. Peinlich wenn sich Strongswan dann im Log meldet mit "angebotene Cipher: x, y, z" und dabei kein einziger GCM dabei ist obwohl der Mitarbeiter doch explizit das konfiguriert hat... Ts ts... :D