OPNsense Forum

International Forums => German - Deutsch => Topic started by: kits2204 on September 27, 2019, 08:14:02 pm

Title: VPN Site to Site mit NAT durch den VPN Tunnel
Post by: kits2204 on September 27, 2019, 08:14:02 pm

Hallo,
nachdem ich jetzt einige Zeit nach einer Lösung gesucht habe aber nichts gefunden habe frag ich mal hier, vielleicht hat jemand eine Idee.

Folgender Aufbau ist vorhanden und funktioniert einwandfrei.

1. Standort A mit festen WAN IP Adressen / Internes LAN = VPN Server
2. Standort B hat eine dynamische IP WAN IP Adresse / Internet LAN = VPN Client

VPN SSL Site to Site verbindet beide Standorte miteinander, man kann von Site A auf alles in Site B zugreifen und umgekehrt.

Auf der Site A gibt es im LAN einen Reverse Proxy welcher ankommenden https Verkehr zu verschiedenen Servern auf Site B umleitet. Dieses ist per einfachem NAT realisiert, also eingehender Traffic https zum Reverse Proxy weiterleiten, dieser gibt die Anfrage an den Server weiter. Das läuft!

Was ich aber auch gerne möchte z.B. eingehende Anfragen Site A Port https zu einem Server weiterleiten im internen LAN auf Site B.

Da habe ich derzeit keine Idee wie ich das Realisieren kann. Per NAT sehe ich zwar ankommende Anfragen auf Site B im Firewall Log aber ich schätze mal das die Rückroute so nicht ganz klappt.

Von einem Rechner im internen LAN Site A erreiche ich den Server auf Site B ohne Probleme, nur so zur Info!

Wer eine Idee hat ich bin mal gespannt :)

Was ich noch vielleicht sagen sollte, alles OPENsense Firewalls!

Grüße Stefan

Title: Re: VPN Site to Site mit NAT durch den VPN Tunnel
Post by: banym on September 27, 2019, 11:41:22 pm

Sorry muss mal wieder nachfragen.

Ist dein ReverseProxy eine Maschine im LAN A oder die Firewall macht auch Reverse-Proxy.

Dein Ziel ist jetzt eine Portweiterleitung am RevereProxy vorbei direkt von Firewall A auf Netzwerk B durch den Tunnel?

Title: Re: VPN Site to Site mit NAT durch den VPN Tunnel
Post by: micneu on September 30, 2019, 05:02:49 pm

Moin, was bezweckst du damit, warum sollen die Leute nicht einfach auf deine ip/Host zugreifen?


Gesendet von iPhone mit Tapatalk Pro

Title: Re: VPN Site to Site mit NAT durch den VPN Tunnel
Post by: kits2204 on September 30, 2019, 08:00:38 pm

Ich versuche mal das Netzwerk hier darzustellen.

Standort 1
Internet <-- WAN 1 78.78.122.122 --> Firewall A <-- LAN 1 192.168.254.254 --> Reverse Proxy 192.168.254.1
Internet <-- WAN 2 78.78.122.123 --> Firewall A <-- OpenVPN --> WebServer 192.168.84.22
VPN SSL Server Tunnel Netzwerk 10.12.0.0/24 Remote Netzwerk 192.168.252.0/24, 192.168.84.0/24

Standort 2 (Dieser Standort hängt am I-Net welches von unterschiedlichen Firmen genutzt wird)
Internet <-- WAN 1 192.168.1.32 --> Firewall B <-- LAN 1 192.168.252.254 --> Firmennetzwerk
OpenVPN                                                         <-- DMZ84 192.168.84.0/24 --> Web Server 192.168.84.1-253
VPN SSL Client Tunnel Netzwerk 10.12.0.0/24 Remote Netzwerk 192.168.254.0/24

Unser Reverse Proxy erreicht alle Server im Netzwerk 192.168.84.0/24 und leitet entsprechende Anfragen weiter. Damit habe ich keine Probleme.

Auch wenn ich mir eine eigene Leitung am zweiten Standort legen lassen würde, habe ich nur eine IP Adresse zur Verfügung bei einen VDSL Anschluss. Alternative SDSL 10 MBit 500 EUR im Monat, brauchen wir nicht, wenn der Dienst mal kurzzeitig nicht verfügbar ist wird daran keiner sterben.

Das schöne ist am ersten Standort ist, dort kann ich weitere öffentliche IP Adressen erhalten und das zu einem guten Preis.

Wenn jetzt jeder Dienst per Reverse Proxy erreichbar wäre dann hätte ich keine Probleme, leider benötige ich auch einen direkten Zugriff von einer externen IP Adresse z.B. 78.78.122.123:443 (NAT) in meine DMZ84.

Der Witz ist ich sehe im Firewall Log auch die Anfragen an Standort 2, aber auf dem Server kommt nichts an.
Am Routing kann es meines Erachtens auch nicht liegen da ich ja aus dem Netzwerk 192.168.254.254/24 auf das Netzwerk 192.168.84.0/24 zugreifen kann.

Ich nutze OPNsense das erste mal daher fehlen mir da auch etwas die Erfahrungswerte was geht und was nicht!

Title: Re: VPN Site to Site mit NAT durch den VPN Tunnel
Post by: kits2204 on September 30, 2019, 08:06:43 pm

Um die Fragen noch zu beantworten

1. Ich nutze einen eigenen Ngnix Reverse Proxy weil das für mich einfacher ist. Zusätzlich kommen noch Letsencrypt Zertifikate zum Einsatz.

2. Wenn ich 30 Webserver oder Dienste am laufen habe welche alle auf unterschiedlichen Servern laufen benötige ich für jeden Server eine öffentliche IP Adresse. Daher ist es sparsamer und auch sicherer einen Proxy davor zu schalten. Zusätzlich sind meine Server in der DMZ nur so über das Internet erreichbar, es steht also keine Maschine direkt im Internet. Das finde ich persönlich besser.

Title: Re: VPN Site to Site mit NAT durch den VPN Tunnel
Post by: banym on September 30, 2019, 10:07:17 pm

Also ich seh kein Problem das technisch umzusetzen.

Persönlich würde ich einen IPsec Tunnel zwischen der DMZ und dem Zielnetz für deine Server am anderen Standort machen. Dann die Regeln wohin der ReverseProxy darf und fertig.

Wenn der ReverseProxy dann gefragt wird, leitet er an die IP weiter und kommt auch hin.

Für die lokalen Server einfach nur Regeln von der DMZ auf die internen IPs.