OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on October 22, 2015, 07:39:54 am
-
Hi,
folgende Situation
Client (192.168.100.183) <-IPsec-> Fremdfirewall <-Ipsec-> OPNSense 192.168.252.96 (192.168.252.0/22) <-IPSec-> Fritz Box (10.40.1.0/24)
Mir ist es nicht möglich die Fremdfirewall zu ändern - dort ist das Netz der OPNSense eingetragen - ich würde aber auch gerne von dem Netz der Fritz Box zu greifen können. Gibt es dort jetzt eine Möglichkeit mit einem NAT oder einer Virtuellen IP Lösung????
Danke
Andreas
-
Andreas, nur in aller Kürze, weil wie gesagt nicht die IPsec-Leuchte: Auf Englisch hast du denke ich mehr antworten. :)
-
ich würde aber auch gerne von dem Netz der Fritz Box zu greifen können. Gibt es dort jetzt eine Möglichkeit mit einem NAT oder einer Virtuellen IP Lösung????
Das scheitert schon daran, daß die Rechner aus dem anderen Netzwerk die Route gar nicht kennen. Pakete zu 10.x würden ergo auf deren default gateway aufschlagen - und nicht über den ipsec-Tunnel laufen.
-
Deswegen würde ich zu gerne ein NAT für den 192.168.100.183 machen so das er gar nicht sieht von wo real die Anfrage kommt.
Danke
-
So Scherze (Phase 2 NAT) macht man z.B. dann, wenn zwei Netzwerke den gleichen IP-Bereich haben.
Könnte dir jetzt bei Mikrotik oder Linux helfen, bei pfsense/OPNsense noch nie gebraucht, aber denke mal sowas in der Art wäre denkbar:
192.168.100.0er - Tunnel 1 - 192.168.252.0er - Tunnelendpunkt mit IP aus dem 192.168.252.0er - NAT des 10.40.1.0er Netzes auf 192.168.252.0er-Adresse - Tunnel 2 - 10.40.1.0er
Also Outbound NAT des ipsec-if.
Allerdings wäre dann eine Kommunikation 192.168.252.0er auf eine 10.40.1.0er-IP nicht mehr möglich (anders herum ja), was man ggf. über einen zweiten Tunnel lösen müßte?
-
Wahrscheinlich ist das aber teils nur in Linux möglich.
BSD scheint da wegen dem Kernel Routing Probleme zu machen.
Es läuft drauf hinaus das ich den Admin der anderen Firewall beknien werden muss um das Routing bei ihm zu erweitern und zu ändern
Gruß
Andreas
-
Naja, es geht schon..
https://forum.pfsense.org/index.php?topic=58140.0
Aber halt mit bissel Gefrickel.