Gelöst - IPSec - Natten der IP Adresse

mimugmail · October 27, 2020, 08:56:18 PM

Ich hatte ein Ähnliches Problem bei nem anderen Kunden. Es kommt wohl auch auf die Gegenseite an ob es mit mehreren P2 klappt. VyOS ging zB nicht.

c-mu · October 28, 2020, 08:00:36 AM

Ich stand vor kurzem vor einem ähnlichen Problem. Der Partner hat mir via IPSec nur eine Host IP in meinem Netz erlaubt, also weitest gehend ähnlich wie beim Thread Opener. Historisch bedingt, haben wir dann eine VM Installiert, die diese IP bekommt. Kollegen haben sich dann via RDP mit der VM Verbunden um von dort weiter zum Kunden zu gelangen.

Das war mir aber zu doof. Die vom Vorredner genannten NAT Rules hatte ich auch schon drin, funktionierten bei mir aber erst dann, sobald ich die freigegebene IP als virtuelle IP auf mein WAN Interface gelegt habe (und die VM ausgeschaltet war).

Seit dem kann ich frei per Regelwerk steuern, wer zum Kunden darf. Also das nur am Rande, falls noch andere dieses Problem haben.

mimugmail · October 28, 2020, 01:04:41 PM

Quote from: c-mu on October 28, 2020, 08:00:36 AM
Ich stand vor kurzem vor einem ähnlichen Problem. Der Partner hat mir via IPSec nur eine Host IP in meinem Netz erlaubt, also weitest gehend ähnlich wie beim Thread Opener. Historisch bedingt, haben wir dann eine VM Installiert, die diese IP bekommt. Kollegen haben sich dann via RDP mit der VM Verbunden um von dort weiter zum Kunden zu gelangen.

Das war mir aber zu doof. Die vom Vorredner genannten NAT Rules hatte ich auch schon drin, funktionierten bei mir aber erst dann, sobald ich die freigegebene IP als virtuelle IP auf mein WAN Interface gelegt habe (und die VM ausgeschaltet war).

Seit dem kann ich frei per Regelwerk steuern, wer zum Kunden darf. Also das nur am Rande, falls noch andere dieses Problem haben.

Die virtuelle IP auf dem WAN? Das ist ja strange ... auf LAN Seite hätte es noch minimal Sinn ergeben aber auf dem WAN? :o

c-mu · October 28, 2020, 01:05:45 PM

Ja, weil sämtlicher IPSec traffic das WAN interface nutzt. Ich war auch erstaunt das es dann so geklappt hat.

hazard · October 28, 2020, 02:26:43 PM

Wie man es dreht und wendet, landen Outbound Pakete immer in der letzten SA.
Lediglich Inbound Traffic kann über die richtige SA abgefangen werden. Wenn die Gegenseite zulässt, dass auch Pakete über die falsche SPI eingehen, dann funktioniert der Traffic auch outbound, man sieht aber im IPSEC Status unter den SAs, dass der Traffic nur in der letzten unter "Out" gezählt wird.
Ich habe es eben mit der WAN IP Alias Adresse im SNAT getestet. Leider funktioniert es zwischen einer OPNSense (outbound) und einer PFSense / VyOS (inbound) nicht.

LHBL2003 · October 28, 2020, 07:21:25 PM

Quote from: mimugmail on October 27, 2020, 08:56:18 PM
Ich hatte ein Ähnliches Problem bei nem anderen Kunden. Es kommt wohl auch auf die Gegenseite an ob es mit mehreren P2 klappt. VyOS ging zB nicht.

Auf der Gegenseite befindet sich eine Checkpoint Firewall. Soviel weiß ich zumindest.

LHBL2003 · October 29, 2020, 09:55:32 AM

Hi,

ich habe einem Kollegen gerade versucht das Ergebnis zu erklären.
Zu 99,9% war dies auch nachvolziebar zu erklären. Nur an einer stelle ist mir das Wording für Outbound unklar.

Unter Firewall --> NAT --> Ausgehend (Outbound) gibte es --> Übersetzung / Ziel (Translation / target)

Warum heist dies Ziel und nicht Quelle? Denn meine Quelladresse (Im Screenshot Beispielhaft. Das Segment (10.123.456.0/24) wird doch in die Adresse 10.111.111.68/32 übersetzt.

mimugmail · October 29, 2020, 10:18:10 AM

Ich denke das ist das gleiche Label wie bei einem Portforwarding und da wäre es dann eben das Ziel.
Verwirrend, ja :)

mimugmail · October 29, 2020, 12:06:29 PM

Also ich hab jetzt ein LAB.

LAN-A --- FW-A --- FW-B --- LAN-B1+LAN-B1

VPN SA ist 10.47.47.1/32 <-> 10.98.2.0/24 + 10.98.22.0/24
LAN-A ist 10.10.10.0/24. Ich hau LAN-A in beide SPDs und mache das Outbound NAT.
FW-A und FW-B sind beide OPNsense. In der Standardkonfiguration geht es nur mit LAN-B1 und wenn ich Tunnel-Isolation aktiviere gehen beide.

Das war jetzt ein Test OHNE irgendeine Virtual IP irgendwo

Colani1200 · April 08, 2021, 11:11:45 AM

Sorry wenn ich hier einen alten Thread kapere, aber ich habe aktuell dasselbe Problem wie der OP und komme nicht so recht weiter. Das Problem ist, dass meine NAT-Regel partout nicht greifen will. Ich habe schon probiert die NAT-IP auf das WAN-Interface zu binden, aber das hat auch nicht geholfen. Was aus den bisherigen Posts nicht ganz eindeutig hervorgeht: Funktioniert das jetzt nur mit Route-based IPsec? Muss ich Tunables setzen?

LHBL2003 · May 05, 2021, 12:55:11 PM

_________________________________________

Zusammengefasste Lösung
_________________________________________

Hallo @Colani1200,

im Anhang findest du die Konfiguration, welche ich damals vorgenommen hatte.
Aufgeteilt in mehrere Posts, da maximal 4 Bilder mit Max. 256KB hochgeladen werden können.

Und ich habe als Modus "Tunnel IPv4" genutzt.

Post TEIL 1

LHBL2003 · May 05, 2021, 12:55:42 PM

Post TEIL 2

LHBL2003 · May 05, 2021, 12:56:27 PM

Post TEIL 3

LHBL2003 · May 05, 2021, 12:56:57 PM

Post TEIL 4

Gelöst - IPSec - Natten der IP Adresse

mimugmail

October 27, 2020, 08:56:18 PM #15

c-mu

October 28, 2020, 08:00:36 AM #16

mimugmail

October 28, 2020, 01:04:41 PM #17

c-mu

October 28, 2020, 01:05:45 PM #18

hazard

October 28, 2020, 02:26:43 PM #19

LHBL2003

October 28, 2020, 07:21:25 PM #20 Last Edit: October 28, 2020, 07:25:58 PM by LHBL2003

LHBL2003

October 29, 2020, 09:55:32 AM #21

mimugmail

October 29, 2020, 10:18:10 AM #22

mimugmail

October 29, 2020, 12:06:29 PM #23

Colani1200

April 08, 2021, 11:11:45 AM #24

LHBL2003

May 05, 2021, 12:55:11 PM #25 Last Edit: May 05, 2021, 01:01:08 PM by LHBL2003

LHBL2003

May 05, 2021, 12:55:42 PM #26

LHBL2003

May 05, 2021, 12:56:27 PM #27

LHBL2003

May 05, 2021, 12:56:57 PM #28