Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT über IPSEC
« previous
next »
Print
Pages: [
1
]
Author
Topic: NAT über IPSEC (Read 427 times)
solu
Newbie
Posts: 2
Karma: 0
NAT über IPSEC
«
on:
July 29, 2024, 09:29:23 pm »
Hallo zusammen,
Wir haben ein Problem mit dem NAT über IPSEC...
Ausgangsszenario:
Es besteht ein IPSEC Tunnel zwischen zwei OPNsense Firewalls dessen gegenüberliegende Netze gegenseitig erreichbar sind. (Webservices sind über den Tunnel aufrufbar)
Site A: 172.16.20.0/24
Site B: 172.17.20.0/24
Beide Sites haben einen Internetanschluss und das lokale NAT funktioniert einwandfrei zu den lokalen Servern.
Wir wollen nun ein NAT von Site B durch den IPSEC Tunnel auf einen Server auf Site A natten.
Dazu haben wir bereits im betreffenden Tunnel unter der Option "Manual SPD entries" das jeweilige Remote-Netzwerk auf beiden Seiten eingetragen, können jedoch über den genatteten Port nicht auf den Server auf Site A zugreifen. Sind für das natten durch den IPSEC Tunnel noch weitere Einstellungen nötig?
Auf dem Server läuft Ubuntu 20.04
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1596
Karma: 176
Re: NAT über IPSEC
«
Reply #1 on:
July 29, 2024, 11:38:39 pm »
Was für ein NAT soll denn passieren?
Erkläre mal anhand von IP Adressen und Ports was du erreichen willst.
Logged
Hardware:
DEC740
solu
Newbie
Posts: 2
Karma: 0
Re: NAT über IPSEC
«
Reply #2 on:
July 31, 2024, 12:10:30 pm »
Hallo Monviech danke für deine Nachfrage.
Mittlerweile haben wir unsere beiden OPNSense noch einmal neu aufgesetzt und haben den Tunnel
gemäss
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route.html
frisch aufgesetzt.
Die Situation hat sich seither jedoch nicht verbessert.
Hier ein Schaubild zu unsere Situation:
Site A links hat einen Server 172.17.20.70 an Port 15880 genattet auf FW1.
Site B rechts hat einen Server 172.16.20.70 ebenfalls an Port 15880 genattet auf FW2.
Jede Seite für sich funktionier wunderbar, beide Server sind über den Port von extern erreichbar (Grüne Linien)
Nun hat Site B rechts noch einen weiteren Server 172.16.20.72 an Port 15881.
Dieser soll von extern über FW1 auf dem das NAT eingerichtet ist über den IPSec Tunnel zu FW2 erreichbar sein.
Wir können den Server 172.16.20.72 über die FW1 erreichen, jedoch funktioniert die Portweiterleitung nicht.
Die Problematik schein ähnlich zu dieser hier zu sein:
https://forum.opnsense.org/index.php?topic=17381.0
Gibts es wirklich keine Lösung? Wir verstehen nicht was wir übersehen.
Bei den nun neu aufgesetzten Firewalls haben wir die Tunnel mit VTI Route wie im oberen Link beschrieben aufgesetzt, nun sieht das Routing für uns auch sinnvoll aus. Jedoch besteht bei den Route based Tunneln nicht die Option für ein BINAT. Ist das möglicherweise ein Problem?
Gruss
Sammy
«
Last Edit: July 31, 2024, 12:16:38 pm by solu
»
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1596
Karma: 176
Re: NAT über IPSEC
«
Reply #3 on:
July 31, 2024, 12:51:43 pm »
Ich kann gerade keine genaue Antwort geben, nur Schnipsel liefern:
Vielleicht reply-to?
https://forum.opnsense.org/index.php?topic=41108
https://docs.opnsense.org/manual/how-tos/nat_reflection.html#method-1-creating-manual-port-forward-nat-dnat-manual-outbound-nat-snat-and-automatic-firewall-rules
Wenn es VTI bleiben soll, dann müssen die richtigen tunables gesetzt werden, sonst kann NAT nicht matchen. Hier eine Analyse:
https://forum.opnsense.org/index.php?topic=40246.msg197422#msg197422
Tunables:
https://docs.opnsense.org/manual/vpnet.html#route-based-vti
Logged
Hardware:
DEC740
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT über IPSEC