Messages

Hi mwilliams,

have you added your recently created openvpn - interface after having created the new instance - to the assigned interfaces? Keyword: Interface assignments?

Dear tstaba,


what you need to do is to use subnets for the unique routing between both sites with so far unused subnets.

So eg. for Site A you need to imagine 192.168.6.0/24 is eg. 192.168.20.0/24 (but only for the transfer via IPsec and vice versa): So for Site A use for example 192.168.20.0/24 and for site B 192.168.21.0/24;

In OPNsense then you need to BINAT for your ipsec traffic. In the IPsec config you need to assign these subnets as local and remote network, on site A: local: 192.168.20.0/24 remote: 192.168.21.0/24 and on site B: local 192.168.21.0/24 remote 192.168.20.0/24

via BINAT you need to SNAT (NETMAP) your client-IP (192.168.6.x) to the fake-net (192.168.20.x). This will then be routed via ipsec.

Hello everyone,


I am now a proud user of the latest OPNsense business edition. I have already managed to overcome a few configuration hurdles and am looking forward to putting the firewall into productive operation.

Before this is possible, I need a one-to-one NAT (no BINAT) to NAT packets arriving from an IPsec tunnel to the correct internal IP. Since the names of the fields are confusing and I have already tested the variants that seem plausible to me, and it is still not possible to use the VPN route, I don't seem to have figured something out yet.

An experienced user can probably help me quickly. Thanks in advance.

The scenario is that a site-to-site VPN IPsec connection is used with a fakenet, as there is a subnet overlap between the two IPsec partners.
For example, the remote side should access the (real) local IP: 192.168.30.200 from the subnet 10.80.1.0/24. In the VPN tunnel, the subnet 192.168.99.0/24 is used as a fake network instead of the subnet 192.168.30.0/24 (i.e. according to the IPsec config: remote: 10.80.1.0/24 - local: 192.168.99.0/24). In the end, it should be possible to reach a defined internal IP address for a defined IP in the 99 network.

I have been testing for days now and still don't understand why the traffic is not allowed through. I have read the KB article from the manual and the one or other forum post on 1:1 NAT, but it doesn't quite fit my case, so I'm hoping for support this way.

The tunnel is set up and the (byte) counter for incoming packets is counting up. So far so good.

I suspect the problem is with the 1:1 NAT rule:
As Interface I have selected "IPsec", As "Type": Nat, under External network (Target): 192.168.30.200, as Source / Internal: 10.80.1.0/24 and under Destination: 192.168.99.200

A firewall rule builds itself automatically, so I don't expect a problem.

I'm wondering about the names of the individual fields (External Network or Source / Internal) - which is which? Does anyone have any idea what I am doing wrong, or how to create such a one-to-one NAT rule correctly? (Where is the secret?).

Hallo Zusammen,


ich freue mich jetzt stolzer Nutzer der aktuellen OPNsense business Edition zu sein. Einige Konfigurationshürden konnte ich bereits überwinden und freue mich, die Firewall produktiv in Betrieb nehmen zu können.

Bevor das möglich ist, brauche ich ein One-to-One NAT (kein BINAT), um Pakete, die aus einem IPsec Tunnel ankommen, auf die korrekte interne IP zu natten. Da die Bezeichnung der Felder verwirrend ist und ich auch schon die mir plausiblen Varianten getestet habe, und es dennoch nicht möglich ist, die VPN-Strecke zu nutzen, scheine ich etwas noch nicht durchdrungen zu haben.

Wahrscheinlich kann mir ein etwas erfahrener Anwender schnell helfen. Danke schon mal vorweg.

Das Szenario ist so, dass eine Site-to-Site VPN-IPsec-Verbindung mit einem Fakenet genutzt wird, da es eine Subnetz-Überschneidung zwischen den beiden IPsec-Partnern gibt.
So soll von der remote Seite z.B. aus dem Subnetz 10.80.1.0/24 auf die (echte) lokale IP: 192.168.30.200 zugegriffen werden. Im VPN-Tunnel wird statt des Subnetzes 192.168.30.0/24 das Subnetz 192.168.99.0/24 als Fakenetz genutzt (also gemäß IPsec Konfig: remote: 10.80.1.0/24 - local: 192.168.99.0/24). Am Ende soll für eine definierte IP im 99er-Netz eine definierte interne IP-Adresse erreicht werden können.

Seit Tagen teste ich nun und verstehe noch nicht wieso der Traffic nicht durchgelassen wird. Ich habe den KB-Artikel aus dem Handbuch gelesen und den einen oder anderen Forum-Beitrag zu 1:1-NAT, aber für meinen Fall passt es immer nicht so ganz, daher hoffe ich auf diesem Weg auf Unterstützung.

Der Tunnel ist aufgebaut, und der (byte) Counter für incoming packets zählt hoch. Soweit so gut.

Ich vermute das Problem bei der 1:1-NAT-Regel:
Als Interface habe ich "IPsec" ausgewählt, Als "Type": Nat, unter External network (Target): 192.168.30.200, als Source / Internal: 10.80.1.0/24 und unter Destination: 192.168.99.200

Eine Firewall-Regel baut sich automatisch, daher erwarte ich da kein Problem.

Ich wundere mich über die Bezeichnung der einzelnen Felder (External Network bzw. Source / Internal) - was ist was? Hat jemand eine Idee, was ich falsch mache, bzw. wie eine solche One-to-one-NAT Regel richtig erstellt wird? (Wo liegt das Geheimnis?).