Gelöst - IPSec - Natten der IP Adresse

[mimugmail]

Ich hatte ein Ähnliches Problem bei nem anderen Kunden. Es kommt wohl auch auf die Gegenseite an ob es mit mehreren P2 klappt. VyOS ging zB nicht.

[c-mu]

Ich stand vor kurzem vor einem ähnlichen Problem. Der Partner hat mir via IPSec nur eine Host IP in meinem Netz erlaubt, also weitest gehend ähnlich wie beim Thread Opener. Historisch bedingt, haben wir dann eine VM Installiert, die diese IP bekommt. Kollegen haben sich dann via RDP mit der VM Verbunden um von dort weiter zum Kunden zu gelangen.

Das war mir aber zu doof. Die vom Vorredner genannten NAT Rules hatte ich auch schon drin, funktionierten bei mir aber erst dann, sobald ich die freigegebene IP als virtuelle IP auf mein WAN Interface gelegt habe (und die VM ausgeschaltet war).

Seit dem kann ich frei per Regelwerk steuern, wer zum Kunden darf. Also das nur am Rande, falls noch andere dieses Problem haben.

[mimugmail]

Ich stand vor kurzem vor einem ähnlichen Problem. Der Partner hat mir via IPSec nur eine Host IP in meinem Netz erlaubt, also weitest gehend ähnlich wie beim Thread Opener. Historisch bedingt, haben wir dann eine VM Installiert, die diese IP bekommt. Kollegen haben sich dann via RDP mit der VM Verbunden um von dort weiter zum Kunden zu gelangen.

Das war mir aber zu doof. Die vom Vorredner genannten NAT Rules hatte ich auch schon drin, funktionierten bei mir aber erst dann, sobald ich die freigegebene IP als virtuelle IP auf mein WAN Interface gelegt habe (und die VM ausgeschaltet war).

Seit dem kann ich frei per Regelwerk steuern, wer zum Kunden darf. Also das nur am Rande, falls noch andere dieses Problem haben.

Die virtuelle IP auf dem WAN? Das ist ja strange ... auf LAN Seite hätte es noch minimal Sinn ergeben aber auf dem WAN? 

[c-mu]

Ja, weil sämtlicher IPSec traffic das WAN interface nutzt. Ich war auch erstaunt das es dann so geklappt hat.

[hazard]

Wie man es dreht und wendet, landen Outbound Pakete immer in der letzten SA.
Lediglich Inbound Traffic kann über die richtige SA abgefangen werden. Wenn die Gegenseite zulässt, dass auch Pakete über die falsche SPI eingehen, dann funktioniert der Traffic auch outbound, man sieht aber im IPSEC Status unter den SAs, dass der Traffic nur in der letzten unter "Out" gezählt wird.
Ich habe es eben mit der WAN IP Alias Adresse im SNAT getestet. Leider funktioniert es zwischen einer OPNSense (outbound) und einer PFSense / VyOS (inbound) nicht.

[LHBL2003]

Ich hatte ein Ähnliches Problem bei nem anderen Kunden. Es kommt wohl auch auf die Gegenseite an ob es mit mehreren P2 klappt. VyOS ging zB nicht.

Auf der Gegenseite befindet sich eine Checkpoint Firewall. Soviel weiß ich zumindest.

[LHBL2003]

Hi,

ich habe einem Kollegen gerade versucht das Ergebnis zu erklären.
Zu 99,9% war dies auch nachvolziebar zu erklären. Nur an einer stelle ist mir das Wording für Outbound unklar.

Unter Firewall --> NAT --> Ausgehend (Outbound) gibte es --> Übersetzung / Ziel (Translation / target)

Warum heist dies Ziel und nicht Quelle? Denn meine Quelladresse (Im Screenshot Beispielhaft. Das Segment (10.123.456.0/24) wird doch in die Adresse 10.111.111.68/32 übersetzt.

[mimugmail]

Ich denke das ist das gleiche Label wie bei einem Portforwarding und da wäre es dann eben das Ziel.
Verwirrend, ja

[mimugmail]

Also ich hab jetzt ein LAB.

LAN-A --- FW-A --- FW-B --- LAN-B1+LAN-B1

VPN SA ist 10.47.47.1/32 <-> 10.98.2.0/24 + 10.98.22.0/24
LAN-A ist 10.10.10.0/24. Ich hau LAN-A in beide SPDs und mache das Outbound NAT.
FW-A und FW-B sind beide OPNsense. In der Standardkonfiguration geht es nur mit LAN-B1 und wenn ich Tunnel-Isolation aktiviere gehen beide.

Das war jetzt ein Test OHNE irgendeine Virtual IP irgendwo

[Colani1200]

Sorry wenn ich hier einen alten Thread kapere, aber ich habe aktuell dasselbe Problem wie der OP und komme nicht so recht weiter. Das Problem ist, dass meine NAT-Regel partout nicht greifen will. Ich habe schon probiert die NAT-IP auf das WAN-Interface zu binden, aber das hat auch nicht geholfen. Was aus den bisherigen Posts nicht ganz eindeutig hervorgeht: Funktioniert das jetzt nur mit Route-based IPsec? Muss ich Tunables setzen?

[LHBL2003]

_________________________________________

Zusammengefasste Lösung
_________________________________________


Hallo @Colani1200,

im Anhang findest du die Konfiguration, welche ich damals vorgenommen hatte.
Aufgeteilt in mehrere Posts, da maximal 4 Bilder mit Max. 256KB hochgeladen werden können.

Und ich habe als Modus "Tunnel IPv4" genutzt.

Post TEIL 1

[LHBL2003]

Post TEIL 2

[LHBL2003]

Post TEIL 3

[LHBL2003]

Post TEIL 4