Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Routing über 2 IPSEC Tunnel
« previous
next »
Print
Pages: [
1
]
Author
Topic: Routing über 2 IPSEC Tunnel (Read 2442 times)
atom
Full Member
Posts: 207
Karma: 4
Routing über 2 IPSEC Tunnel
«
on:
July 07, 2020, 01:08:47 pm »
Ich bin neu in der OPNsense-Welt und stehe aktuell ein bisschen auf dem Schlauch.
Der Aufbau sieht so aus:
Router R1 <----IPsec tunnel---- > OPNsense R2 <---IPsec Tunnel ----> Lancom R3
Ich habe mehrere verschiedene Router R1 die Tunnel zu R2 haben. Zwischen R2 und R3 gibt es einen Policy-Based Tunnel mit mehreren Netzen (Phase2).
Jetzt sollen User hinter R3 auf Systeme hinter R1 Zugreifen können. Ich komme aber immer nur von R1 auf R2 oder von R3 auf R2.
Muss ich in "Firewall: Rules: IPsec" alle Kombination von möglichen Verbindungen die erlaubt sind konfigurieren oder Statische Routen definieren oder geht das ganz anders ?
«
Last Edit: July 07, 2020, 02:39:37 pm by atom
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Routing über 2 IPSEC Tunnel
«
Reply #1 on:
July 07, 2020, 06:27:00 pm »
> Muss ich in "Firewall: Rules: IPsec" alle Kombination von möglichen Verbindungen die erlaubt sind konfigurieren oder Statische Routen definieren oder geht das ganz anders ?
Zuerst einmal Basic: Um von R3 nach R1 zu kommen, muss die Route zu R1 auch über die Verbindung R2/R3 gepusht werden. Sprich du brauchst ne zusätzliche Phase 2 (oder musst manuell routen, wenn dein Tunnel VTI nutzt), damit der Lancom auf der R3 Seite kapiert, dass du nach R1 willst und er das gefällgst in den Tunnel stopfen soll
Dann muss natürlich auf dem IPSEC Interface der Sense auch eingehend erlaubt sein, dass Traffic vom Netz R3 zu R1 will. Also Regeln checken ob das erlaubt ist. Und R1 hat dann das gleiche Problem wie R3: der muss ja die IP vom Netz von R3 des Clients kennen, sonst kann er die Antwortpakete ja nicht zurücksenden und weiß nicht, dass die in den Tunnel zu R2 müssen. Ergo auch hier eine Zusatzphase 2 oder Route per VTI hinzufügen.
Grüße
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
atom
Full Member
Posts: 207
Karma: 4
Re: Routing über 2 IPSEC Tunnel
«
Reply #2 on:
July 07, 2020, 07:34:47 pm »
Da es sich um mehrere Tunnel zwischen R1 und R2 handelt, würde ich die Tunnel von zwischen Lancom und OPNsense lieber auf VTI umstellen, als so viele Phase2-Einträge zu machen.
Wenn ich das richtig verstanden habe, dann werden bei VTI die Netze zwischen R2 und R3 nicht mehr geNATet, so dass der Lancom und der Sense die selben Netze nutzen. Richtig ?
Dann hätte ich zumindesten Zeitweise ein Multi-WAN Scenario, bis alle VPN-Tunnel, die aktuell von R1 direkt zum R3 gehen, auf R2 umgestellt sind.
Zur Eklärung: R2 steht im RZ und R3 ist über die DSL mit dem WAN verbunden.
tom
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Routing über 2 IPSEC Tunnel
«
Reply #3 on:
July 07, 2020, 08:06:13 pm »
> Wenn ich das richtig verstanden habe, dann werden bei VTI die Netze zwischen R2 und R3 nicht mehr geNATet, so dass der Lancom und der Sense die selben Netze nutzen. Richtig ?
Nein VTI hat mich NAT nichts zu tun. VTI nutzt wie OpenVPN ein Transfernetz und ein Pseudo Interface so dass man normal via System/Routing die Routen auf das VPN Gateway setzen kann statt dafür jedes Mal neue Phasen anzulegen oder den Tunnel zu editieren. Mit NAT hat das aber noch nichts zu tun.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
atom
Full Member
Posts: 207
Karma: 4
Re: Routing über 2 IPSEC Tunnel
«
Reply #4 on:
July 07, 2020, 08:23:15 pm »
Wäre es dann - in meinem Fall - sinnvoll auf beiden Seiten vom Transfernetz die identischen Netze nutzen oder macht das mehr Probleme ?
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Routing über 2 IPSEC Tunnel
«
Reply #5 on:
July 07, 2020, 08:39:19 pm »
> Wäre es dann - in meinem Fall - sinnvoll auf beiden Seiten vom Transfernetz die identischen Netze nutzen oder macht das mehr Probleme ?
Das macht immer mehr Probleme! Bei VPNs ist es am Sinnvollsten wenn jedes lokale Netz eindeutig ist und nicht irgendwo anders mitgenutzt wird. Dann ist sauberes Routing möglich, andernfalls muss man mit NAT Krücken arbeiten was meist chaotisch wird.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
atom
Full Member
Posts: 207
Karma: 4
Re: Routing über 2 IPSEC Tunnel
«
Reply #6 on:
July 09, 2020, 06:28:57 pm »
Ich habe jetzt den Tunnel zwischen R2 und R3 auf VTI umgestellt.
Da die Router R1 nicht in meinem Zugriff sind, würde ich gerne den Verkehr direkt weiterleiten wollen nach R3 ( und umgekehrt), bis alle Tunnel von R3 auf R2 umgezogen sind.
Kann man das nur mit Routing lösen ?
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Routing über 2 IPSEC Tunnel