1
German - Deutsch / Re: NAT über IPSEC
« on: July 31, 2024, 12:10:30 pm »
Hallo Monviech danke für deine Nachfrage.
Mittlerweile haben wir unsere beiden OPNSense noch einmal neu aufgesetzt und haben den Tunnel
gemäss https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route.html frisch aufgesetzt.
Die Situation hat sich seither jedoch nicht verbessert.
Hier ein Schaubild zu unsere Situation:
Site A links hat einen Server 172.17.20.70 an Port 15880 genattet auf FW1.
Site B rechts hat einen Server 172.16.20.70 ebenfalls an Port 15880 genattet auf FW2.
Jede Seite für sich funktionier wunderbar, beide Server sind über den Port von extern erreichbar (Grüne Linien)
Nun hat Site B rechts noch einen weiteren Server 172.16.20.72 an Port 15881.
Dieser soll von extern über FW1 auf dem das NAT eingerichtet ist über den IPSec Tunnel zu FW2 erreichbar sein.
Wir können den Server 172.16.20.72 über die FW1 erreichen, jedoch funktioniert die Portweiterleitung nicht.
Die Problematik schein ähnlich zu dieser hier zu sein: https://forum.opnsense.org/index.php?topic=17381.0
Gibts es wirklich keine Lösung? Wir verstehen nicht was wir übersehen.
Bei den nun neu aufgesetzten Firewalls haben wir die Tunnel mit VTI Route wie im oberen Link beschrieben aufgesetzt, nun sieht das Routing für uns auch sinnvoll aus. Jedoch besteht bei den Route based Tunneln nicht die Option für ein BINAT. Ist das möglicherweise ein Problem?
Gruss
Sammy
Mittlerweile haben wir unsere beiden OPNSense noch einmal neu aufgesetzt und haben den Tunnel
gemäss https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route.html frisch aufgesetzt.
Die Situation hat sich seither jedoch nicht verbessert.
Hier ein Schaubild zu unsere Situation:
Site A links hat einen Server 172.17.20.70 an Port 15880 genattet auf FW1.
Site B rechts hat einen Server 172.16.20.70 ebenfalls an Port 15880 genattet auf FW2.
Jede Seite für sich funktionier wunderbar, beide Server sind über den Port von extern erreichbar (Grüne Linien)
Nun hat Site B rechts noch einen weiteren Server 172.16.20.72 an Port 15881.
Dieser soll von extern über FW1 auf dem das NAT eingerichtet ist über den IPSec Tunnel zu FW2 erreichbar sein.
Wir können den Server 172.16.20.72 über die FW1 erreichen, jedoch funktioniert die Portweiterleitung nicht.
Die Problematik schein ähnlich zu dieser hier zu sein: https://forum.opnsense.org/index.php?topic=17381.0
Gibts es wirklich keine Lösung? Wir verstehen nicht was wir übersehen.
Bei den nun neu aufgesetzten Firewalls haben wir die Tunnel mit VTI Route wie im oberen Link beschrieben aufgesetzt, nun sieht das Routing für uns auch sinnvoll aus. Jedoch besteht bei den Route based Tunneln nicht die Option für ein BINAT. Ist das möglicherweise ein Problem?
Gruss
Sammy