OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • SNAT route-based IPSec
« previous next »
  • Print
Pages: [1]

Author Topic: SNAT route-based IPSec  (Read 1955 times)

OliverW

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
    • View Profile
SNAT route-based IPSec
« on: November 02, 2020, 06:15:58 pm »
Hallo zusammen,

ich habe eine Herausforderung mit SNAT an der OPNsense, an der ich gerade nicht weiter komme. Ich hoffe Ihr habt eine Idee.

Dazu folgendes Diagramm:
Code: [Select]
      .-----+------.
      | LAN-R     |
      '-----+------'
            |
            | 192.168.100.0/24
            |
      .---------+--------.
      |  OPNSense Remote |
      '---------+--------'
            |
            | IPSec
            |
      .--------+--------.                     .------------.
      |  OPNsense Local +---------------------+ LAN2       | 10.99.1.0/24
      '--------+--------'                     '------------'
            |
        LAN | 10.99.0.0/24
            |
      .-----+------.
      | LAN-1.     |
      '-----+------'

Zwischen meiner OPNsense (local) und der Gegenstelle (remote) besteht bereits ein route-based IPSec.
Hier wurde bisher auf meiner Seite das Netz 10.99.0.0/24 genutzt und ich habe Zugriff auf diverse Systeme im Remote Netz 192.168.100./24. Bisher also alles fein.

Auf meiner Seite gibt es jetzt allerdings noch ein weiteres Netz (10.99.1.0/24), welches Zugriff benötigt.
Aber die Gegenstelle erlaubt keine weiteren Netze.

Also war die Idee ein NAT von der 10.99.1.0/24 auf eine IP aus dem Netz 10.99.0.0/24 zu machen.

Dazu habe ich bereits mit einem One-to-One NAT als auch Outbound NAT versucht das Ganze umzusetzen.
Allerdings scheint die OPNsense ein Routing Problem nach dem NAT zu haben.
Mein eingehendes Paket von der 10.99.1.1 wird auf die 10.99.0.99 genatted und an das Interface "OPNsense1" (welches das Gateway ist) gesendet. Die weiteren Paket dann allerdings an das Standard IPSec Interface. und damit natürlich nicht mehr korrekt.

Hat jemand besagtes NAT schon einmal umgesetzt bekommen und hat eine Idee, wo es noch hängt?

vielen Dank :D
Logged

mimugmail

  • Hero Member
  • *****
  • Posts: 6766
  • Karma: 494
    • View Profile
Re: SNAT route-based IPSec
« Reply #1 on: November 02, 2020, 06:56:36 pm »
Ist eine technische Limitierung, geht derzeit leider nicht.
Logged
WWW: www.routerperformance.net
Support plans: https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German): https://opnsense.max-it.de/

atom

  • Full Member
  • ***
  • Posts: 207
  • Karma: 4
    • View Profile
Re: SNAT route-based IPSec
« Reply #2 on: November 03, 2020, 04:25:05 pm »
Ich muss auch so ein Konstrukt realisieren. Gibt es schon eine Agenda bis wann das möglich ist ?
Wird das funktionieren, wenn man statt des Route-Based-Tunnels ein Policy-Based-Tunnel benutzt ?
Logged

mimugmail

  • Hero Member
  • *****
  • Posts: 6766
  • Karma: 494
    • View Profile
Re: SNAT route-based IPSec
« Reply #3 on: November 03, 2020, 06:16:00 pm »
Ja, bei policy geht das, auf jeden Fall wenn du eine P2 hast. Wenn es mehrere P2 gibt dann kommt es auf die Gegenseite an.
Logged
WWW: www.routerperformance.net
Support plans: https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German): https://opnsense.max-it.de/

atom

  • Full Member
  • ***
  • Posts: 207
  • Karma: 4
    • View Profile
Re: SNAT route-based IPSec
« Reply #4 on: November 03, 2020, 06:28:17 pm »
Ich brauche zwei P2-Policies ...
Logged

mimugmail

  • Hero Member
  • *****
  • Posts: 6766
  • Karma: 494
    • View Profile
Re: SNAT route-based IPSec
« Reply #5 on: November 03, 2020, 10:01:26 pm »
Dann einfach mal probieren
Logged
WWW: www.routerperformance.net
Support plans: https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German): https://opnsense.max-it.de/

atom

  • Full Member
  • ***
  • Posts: 207
  • Karma: 4
    • View Profile
Re: SNAT route-based IPSec
« Reply #6 on: November 12, 2020, 09:29:17 am »
Habe ich probiert und es funktioniert.
Danke !
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • SNAT route-based IPSec
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2