Brauche Hilfe bei NAT

[canitzp]

Hallo,
Ich baue zurzeit zwei Haus-Netzwerke auf und beide müssen miteinander verbunden werden. Ich habe mich für OPNSense entschieden und brauche etwas Hilfe bei der Einrichtung der NAT Regeln oder wie auch immer ich das einrichten kann.

Anbei ist ein Bild mit einer groben Übersicht. Grundsätzlich funktionieren beide Netzwerke unabhängig voneinander und beide können ihr Internet beziehen, allerdings habe ich es nicht geschafft die Firewall so einzustellen, dass beide Netzwerke miteinander kommunizieren können.
Der Plan dabei ist, dass das 192.168.1.x Netzwerk über das 192.168.3.x Verbindung auf das 192.168.2.x Netzwerk zugreifen kann und umgedreht. Internet müssen beide Netzwerke von dem jeweiligen Anschluss beziehen und nicht von dem anderen.

Kann mir da jemand helfen?

[micneu]

als die leitung 192.168.3.x/24 ist eine ethernet verbindung?
hast du mal versucht die sense gegenseitig zu pingen?
warscheinlich musst du noch ein statisches routing konfigurieren damit die sense wissen wie sie die netze .1.x und .2.x erreichen.

[canitzp]

Ja das 192.168.3.x/24 ist in meinem Test-Setup ein normales LAN-Kabel und später wird es Glasfaser. Ich habe einiges ausprobiert mit statischen Routen, allerdings hatte ich nie Erfolg bei den ping versuchen.
Es wäre toll wenn du das weiter erläutern kannst, wie ich das genau einstelle. Ich nutze neu seit Gestern OPNSense und habe dementsprechend wenig Erfahrung damit. Auch pfSense habe ich zuvor nie genutzt

[Gauss23]

Das ist doch ein überschaubares Projekt:
OPNsense A bekommt als statische Route 192.168.2.0/24 über die 192.168.3.2
und OPNsense B bekomme eine statische Route auf 192.168.1.0/24 über die 192.168.3.1

NAT ist da nicht involviert.

Auf beiden OPNsense Boxen brauchst Du für das Interface, wo das 192.168.3.0/24 Netz drauf ist, noch Regeln, die eingehenden Verkehr auch zulassen.

Entsprechend müssen die anderen Interfaces auch Traffic in diese Richtung erlauben.

[JeGr]

Da stimme ich @Gauss23 zu, da ist kein NAT mit involviert

Ich würde aber - wenn das noch nicht finalisiert ist - folgende Änderungen vorschlagen:
@canitzp:

Seite A:

* 172.21.1.0/24 (wenn es momentan noch ohne VLANs läuft und somit Default VLAN 1 ist)

Seite B:

* 172.22.1.0/24 (wenn es momentan noch ohne VLANs läuft und somit Default VLAN 1 ist)

Transfernetz:

* 10.21.22.0/30 (als Transfernetz zwischen den zwei Geräten genügen ja 2 IPs, ggf. ein /29 oder /28 wenn da noch mehr Teilnehmer rein müssen bzw. man später doch nen Cluster baut etc.)

Warum:

* für die lokalen Netze (wenn man sie eh neu anlegt) Netze nutzen, die nicht "gewöhnlich" sind, dann hat man später mit irgendwelchen VPNs/Tunneln/Fremdnetzen kein Problem wenn man mal welche anbinden muss -> weniger Kollisionen
* Einfachere IP Netze mit implizierter Logik:
** So ist es klar, dass "21"er Netze Seite A und "22"er Netze Seite B sind
** untagged/keine VLANs heißt default VLAN 1 -> .1.0/24 auf beiden Seiten
** man kann problemlos beide Seiten noch mit VLANs ausbauen und diese dann ID mäßig zu IP Netzen matchen, bspw. ein VLAN 99 für Gäste einbauen und mit 172.21.99.0/24 nutzen
** IP Netze so vergeben macht Debugging einfacher, wenn man überlegen muss, wo welche IP her kommt/hin muss
* Transfernetz aus anderem Netzbereich nutzen. Bspw. 10er. Die IDs 21 und 22 zeigen dann zwischen welchen Netzen hier Transferiert wird

Cheers
\jens