OPNsense Forum

International Forums => German - Deutsch => Topic started by: Andreas on October 22, 2015, 07:39:54 am

Title: Routing Trick?!
Post by: Andreas on October 22, 2015, 07:39:54 am

Hi,
folgende Situation

Client (192.168.100.183) <-IPsec-> Fremdfirewall <-Ipsec-> OPNSense 192.168.252.96 (192.168.252.0/22) <-IPSec-> Fritz Box (10.40.1.0/24)

Mir ist es nicht möglich die Fremdfirewall zu ändern - dort ist das Netz der OPNSense eingetragen - ich würde aber auch gerne von dem Netz der Fritz Box zu greifen können. Gibt es dort jetzt eine Möglichkeit mit einem NAT oder einer Virtuellen IP Lösung????

Danke
Andreas

Title: Re: Routing Trick?!
Post by: franco on October 23, 2015, 08:51:41 am

Andreas, nur in aller Kürze, weil wie gesagt nicht die IPsec-Leuchte: Auf Englisch hast du denke ich mehr antworten. :)

Title: Re: Routing Trick?!
Post by: Zeitkind on October 27, 2015, 01:23:08 am

Quote from: avengineering on October 22, 2015, 07:39:54 am

ich würde aber auch gerne von dem Netz der Fritz Box zu greifen können. Gibt es dort jetzt eine Möglichkeit mit einem NAT oder einer Virtuellen IP Lösung????

Das scheitert schon daran, daß die Rechner aus dem anderen Netzwerk die Route gar nicht kennen. Pakete zu 10.x würden ergo auf deren default gateway aufschlagen - und nicht über den ipsec-Tunnel laufen.

Title: Re: Routing Trick?!
Post by: Andreas on October 27, 2015, 08:10:22 am

Deswegen würde ich zu gerne ein NAT für den 192.168.100.183 machen so das er gar nicht sieht von wo real die Anfrage kommt.

Danke

Title: Re: Routing Trick?!
Post by: Zeitkind on November 04, 2015, 02:55:02 pm

So Scherze (Phase 2 NAT) macht man z.B. dann, wenn zwei Netzwerke den gleichen IP-Bereich haben.
Könnte dir jetzt bei Mikrotik oder Linux helfen, bei pfsense/OPNsense noch nie gebraucht, aber denke mal sowas in der Art wäre denkbar:
192.168.100.0er - Tunnel 1 - 192.168.252.0er -  Tunnelendpunkt mit IP aus dem 192.168.252.0er - NAT des 10.40.1.0er Netzes auf 192.168.252.0er-Adresse - Tunnel 2 - 10.40.1.0er
Also Outbound NAT des ipsec-if.
Allerdings wäre dann eine Kommunikation 192.168.252.0er auf eine 10.40.1.0er-IP nicht mehr möglich (anders herum ja), was man ggf. über einen zweiten Tunnel lösen müßte?

Title: Re: Routing Trick?!
Post by: Andreas on November 07, 2015, 08:44:37 pm

Wahrscheinlich ist das aber teils nur in Linux möglich.
BSD scheint da wegen dem Kernel Routing Probleme zu machen.


Es läuft drauf hinaus das ich den Admin der anderen Firewall beknien werden muss um das Routing bei ihm zu erweitern und zu ändern

Gruß
Andreas

Title: Re: Routing Trick?!
Post by: Zeitkind on November 08, 2015, 12:06:14 pm

Naja, es geht schon..

https://forum.pfsense.org/index.php?topic=58140.0

Aber halt mit bissel Gefrickel.