OPNsense Forum

International Forums => German - Deutsch => Topic started by: Wayne Train on August 07, 2018, 09:39:31 am

Title: Routing über IPsec
Post by: Wayne Train on August 07, 2018, 09:39:31 am

Hallo,

ich habe folgendes Szenario: Zwei Standorte, die über IPSec miteinander verbunden sind. Standort A hat eine Active Directory,
auf die ich gerne von Staqndort B zugreifen möchte, bzw. gegen die ich authentifizieren möchte, von der OPNsense an Standort B.
Wenn ich jetzt versuche aus dem Netz B auf die AD in Netz a zuzgreifen funktioniert alles. Wenn ich jedoch versuche von der Firewall an Standort B selbst zuzugreifen, versucht er das ganze über das default GW und die Anfrage läuft sich tot.
Wie bringe ich der OPNsense bei, dass sie für Anfragen die von ihr selbst kommen und die ins Netz A sollen, den IPsec-Tunnel nutzt ?
Als Interface für IPsec vermute ich enc0, aber so wirklich erklären kann ich mir das Verhalten nicht...
Wäre super, wenn jemand einen Tipp hätte.

MFG
Wayne

Title: Re: Routing über IPsec
Post by: mimugmail on August 07, 2018, 12:15:46 pm

Dann brauchst du einen Tunnel für die WAN IP / 32

Title: Re: Routing über IPsec
Post by: Wayne Train on August 07, 2018, 12:50:10 pm

Hi,
das verstehe ich nicht ganz.... Vielleicht habe ich mich blöd ausgedrückt:

Ich möchte, dass die Firewall selbst mit ihrem Interface, sagen wir Server, mit der IP 192.168.1.1 im Netz B die IP 192.168.2.200 erreichen kann. Die Maschinen in den Netzen selbst, also 192.168.1.0/24 und 192.168.2.0/24 können bereits miteinander kommunizieren. Lediglich der Gateway des Netzes A, also 192.168.1.1 ist nicht in der Lage die Maschine mit der IP 192.168.2.200 in Netz B zu erreichen. Von jeder anderen Büchse im Netz 192.168.1.0/24 aus funktioniert der Zugriff...

Das man dann die WAN-IP tunnelt, habe ich ehrlich gesagt noch nie gehört...

MFG
Wayne

Title: Re: Routing über IPsec
Post by: Wayne Train on August 07, 2018, 01:13:18 pm

Theoretisch könnte ich doch eine statische Host-Route konfigurieren, die den Remote-GW auf Site B als next-Hop nutzt, oder liege ich damit falsch ?

Ich meine das in etwa so:

route add -host 192.168.2.200 gw 192.168.2.1

Wenn ich zum Beispiel über ssh ein route get mache, dann stimmt alles, aber auf der gegenseit kommt nix an.

Title: [EDIT] Re: Routing über IPsec -> ldapsearch über spezielles Interface
Post by: Wayne Train on August 07, 2018, 01:21:10 pm

Ok,
ich bin einen Schritt weiter. Zwar komme ich über die GUI noch nicht an die AD, aber ich kann das Problem eingrenzen:
Es liegt nicht am Tunnel, sondern am Routing, bzw. welches Interface für den Connect genutzt wird.
Wenn ich einen ldapsearch auf der CSH absetze, dann kommt auf der Gegenseit nix an. Wenn ich das gleiche manuell mit Netcat simuliere, geht alles sauber durch. Ich müsste dem ldapsearch in der GUI also irgendwie beibringen, dass er das Server-Interface zum Verbindungsaufbau nutzt.

Title: Re: Routing über IPsec
Post by: mimugmail on August 07, 2018, 01:29:24 pm

Genau deswegen hab ich eine zweite P2, links WAN IP, rechts  das Subnetz vom AD. Geht super ...

Title: Re: Routing über IPsec
Post by: Wayne Train on August 07, 2018, 04:12:34 pm

Hi,

das habe ich gerade probiert. Das funktioniert leider nicht. Ich vermute aber mal, dass es daran liegt, dass die OPN als exposed Host  hinter einer Fritze klemmt. Ich würde das am liebsten NATten, weiß aber nicht, ob es mir alles über den Haufen wirft, wenn ich von automatisch auf manuell umstelle...

https://forum.opnsense.org/index.php?topic=9355.0

Weißt du das zufällig ?

Danke schonmal.