SNAT route-based IPSec

Started by OliverW, November 02, 2020, 06:15:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 02, 2020, 06:15:58 PM
Hallo zusammen,

ich habe eine Herausforderung mit SNAT an der OPNsense, an der ich gerade nicht weiter komme. Ich hoffe Ihr habt eine Idee.

Dazu folgendes Diagramm:
Code Select

      .-----+------.
      | LAN-R     |
      '-----+------'
            |
            | 192.168.100.0/24
            |
      .---------+--------.
      |  OPNSense Remote |
      '---------+--------'
            |
            | IPSec
            |
      .--------+--------.                     .------------.
      |  OPNsense Local +---------------------+ LAN2       | 10.99.1.0/24
      '--------+--------'                     '------------'
            |
        LAN | 10.99.0.0/24
            |
      .-----+------.
      | LAN-1.     |
      '-----+------'


Zwischen meiner OPNsense (local) und der Gegenstelle (remote) besteht bereits ein route-based IPSec.
Hier wurde bisher auf meiner Seite das Netz 10.99.0.0/24 genutzt und ich habe Zugriff auf diverse Systeme im Remote Netz 192.168.100./24. Bisher also alles fein.

Auf meiner Seite gibt es jetzt allerdings noch ein weiteres Netz (10.99.1.0/24), welches Zugriff benötigt.
Aber die Gegenstelle erlaubt keine weiteren Netze.

Also war die Idee ein NAT von der 10.99.1.0/24 auf eine IP aus dem Netz 10.99.0.0/24 zu machen.

Dazu habe ich bereits mit einem One-to-One NAT als auch Outbound NAT versucht das Ganze umzusetzen.
Allerdings scheint die OPNsense ein Routing Problem nach dem NAT zu haben.
Mein eingehendes Paket von der 10.99.1.1 wird auf die 10.99.0.99 genatted und an das Interface "OPNsense1" (welches das Gateway ist) gesendet. Die weiteren Paket dann allerdings an das Standard IPSec Interface. und damit natürlich nicht mehr korrekt.

Hat jemand besagtes NAT schon einmal umgesetzt bekommen und hat eine Idee, wo es noch hängt?

vielen Dank :D
November 02, 2020, 06:56:36 PM #1
Ist eine technische Limitierung, geht derzeit leider nicht.
November 03, 2020, 04:25:05 PM #2
Ich muss auch so ein Konstrukt realisieren. Gibt es schon eine Agenda bis wann das möglich ist ?
Wird das funktionieren, wenn man statt des Route-Based-Tunnels ein Policy-Based-Tunnel benutzt ?
November 03, 2020, 06:16:00 PM #3
Ja, bei policy geht das, auf jeden Fall wenn du eine P2 hast. Wenn es mehrere P2 gibt dann kommt es auf die Gegenseite an.
November 03, 2020, 06:28:17 PM #4
Ich brauche zwei P2-Policies ...
November 03, 2020, 10:01:26 PM #5
Dann einfach mal probieren
November 12, 2020, 09:29:17 AM #6
Habe ich probiert und es funktioniert.
Danke !
Print
Go Up Pages1
User actions