Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
One-to-One NAT in IPsec to individual IPs
« previous
next »
Print
Pages: [
1
]
Author
Topic: One-to-One NAT in IPsec to individual IPs (Read 250 times)
advanced-user
Newbie
Posts: 4
Karma: 0
One-to-One NAT in IPsec to individual IPs
«
on:
August 16, 2024, 04:21:02 pm »
Hallo Zusammen,
ich freue mich jetzt stolzer Nutzer der aktuellen OPNsense business Edition zu sein. Einige Konfigurationshürden konnte ich bereits überwinden und freue mich, die Firewall produktiv in Betrieb nehmen zu können.
Bevor das möglich ist, brauche ich ein One-to-One NAT (kein BINAT), um Pakete, die aus einem IPsec Tunnel ankommen, auf die korrekte interne IP zu natten. Da die Bezeichnung der Felder verwirrend ist und ich auch schon die mir plausiblen Varianten getestet habe, und es dennoch nicht möglich ist, die VPN-Strecke zu nutzen, scheine ich etwas noch nicht durchdrungen zu haben.
Wahrscheinlich kann mir ein etwas erfahrener Anwender schnell helfen. Danke schon mal vorweg.
Das Szenario ist so, dass eine Site-to-Site VPN-IPsec-Verbindung mit einem Fakenet genutzt wird, da es eine Subnetz-Überschneidung zwischen den beiden IPsec-Partnern gibt.
So soll von der remote Seite z.B. aus dem Subnetz 10.80.1.0/24 auf die (echte) lokale IP: 192.168.30.200 zugegriffen werden. Im VPN-Tunnel wird statt des Subnetzes 192.168.30.0/24 das Subnetz 192.168.99.0/24 als Fakenetz genutzt (also gemäß IPsec Konfig: remote: 10.80.1.0/24 - local: 192.168.99.0/24). Am Ende soll für eine definierte IP im 99er-Netz eine definierte interne IP-Adresse erreicht werden können.
Seit Tagen teste ich nun und verstehe noch nicht wieso der Traffic nicht durchgelassen wird. Ich habe den KB-Artikel aus dem Handbuch gelesen und den einen oder anderen Forum-Beitrag zu 1:1-NAT, aber für meinen Fall passt es immer nicht so ganz, daher hoffe ich auf diesem Weg auf Unterstützung.
Der Tunnel ist aufgebaut, und der (byte) Counter für incoming packets zählt hoch. Soweit so gut.
Ich vermute das Problem bei der 1:1-NAT-Regel:
Als Interface habe ich "IPsec" ausgewählt, Als "Type": Nat, unter External network (Target): 192.168.30.200, als Source / Internal: 10.80.1.0/24 und unter Destination: 192.168.99.200
Eine Firewall-Regel baut sich automatisch, daher erwarte ich da kein Problem.
Ich wundere mich über die Bezeichnung der einzelnen Felder (External Network bzw. Source / Internal) - was ist was? Hat jemand eine Idee, was ich falsch mache, bzw. wie eine solche One-to-one-NAT Regel richtig erstellt wird? (Wo liegt das Geheimnis?).
«
Last Edit: August 20, 2024, 02:01:50 pm by advanced-user
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
One-to-One NAT in IPsec to individual IPs