IPsec S2S SNAT/DNAT

Started by pme242, August 05, 2024, 10:51:07 AM

Previous topic - Next topic
Hallo,

folgende Netzstruktur:

                                                                         
            LAN 192.168.10.0/24                                           
                                                                         
           +----------------------------------+                           
           |                                  |                           
           |                                  |                           
           |          Firewall A              |                           
           |                                  |                           
           |          192.168.10.1            |                           
           |                                  |                           
           |                                  |                           
           +----------------------------------+                           
           WAN 79.23.12.xx   |                                           
                             |                                           
                             |                                           
                             |    IP Sec VPN               -             
                             |                                           
           WAN 46.12.34.xx   |                                           
           +----------------------------------+                           
           |                                  |                           
           |                                  |                           
           |         Firewall B               |                           
           |                                  |                           
           |         192.168.15.1             |                           
           |                                  |                           
           +----------------------------------+                           
                  |                   |                                   
                  |                   |                                   
                  |                   |          -                       
               +--|--+             +-----+                               
               |     |             |     |                               
               |     |             |     |                               
               |     |             |     |                               
               |     |             |     |                               
               +-----+             +-----+                               
               Server A            Server B                               
               192.168.15.20       192.168.15.21                         


Zwei Netze über IPsec verbunden -funktioniert prima.

folgendes Problem:

Aus dem LAN A soll nur der Server A aus dem LAN B mit einer genatteten IP 172.16.16.20 erreichbar sein.

Bisher habe ich das mit einer Zyxel Firewall über SNAT/DNAT im IPsec Tunnel dargestellt.

Entsprechend wird über den VPN Tunnel das Netz 172.16.16.0/24 propagiert und dann ein DNAT von 172.16.16.20 auf 192.168.15.20.

Die weiteren IPs im LAN B sind nicht erreichbar (das ist so auch gewünscht)

Wie kann man das mit Opnsense darstellen?

Hat jemand hier eine Idee?

Vielen Dank