1:1 NAT VIP und IPsec

[MichaelR]

Hallo zusammen,

folgendes Problem habe ich derzeit:

LAN Site A:          10.65.0.0/24             WAN Adresse Site A:  184.xxx.xxx.xxx

LAN site B:          192.168.2.0/24          WAN Adresse Site B:    80.xxx.xxx.xxx

LAN Site B hat eine VIP mit der Adresse 192.168.25.1/32 die als lokales Subnetz in Phase 2 des IPsec eingetragen ist, da das "Original-Subnetz" 192.168.2.0/24 nicht genutzt werden kann.

Der IPsec-Tunnel wird zwischen beiden Standorten korrekt aufgebaut, allerdings ist kein Zugriff möglich, da das 1:1 NAT n nicht funktioniert. Ich habe bereits verschiedene Szenarien ausprobiert, aber keine Lösung gefunden.

Die IPsec-Regel lautet: IPv4 * 192.168.25.0/24 * * * *

1:1 NAT: LAN - 192.168.25.0/24 192.168.2.0/24 LAN NETZWERK

Habe ich irgendetwas übersehen oder falsch interpretiert? Über Hilfe wäre ich dankbar.

Viele Grüße
Michael

[mimugmail]

Probier das mal:

https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html

[MichaelR]

Vielen Dank für die Info,

leider klappt das auch nicht, oder ich mache da noch einen Fehler.

Aus meiner Sicht muss das 1:1 NAT ja nur auf der Site B eingerichtet werden, da auf der Site A ja keine Änderung des LAN Subnetzes stattfindet - oder ist das auch ein gedanklicher Fehler?

in der Anlage der Tunnelstatus mit beiden angewählten Subnetzen.

Viele Grüße
Michael

[mimugmail]

Wie sieht dein BINAT aus? Hast du das 2er Netz bei der P2 in SPD drin?
Ich habs mit VIP's bisher nie probiert ehrlich gesagt.

[MichaelR]

Hallo,

In der PH2 ist der SPD für die 192.168.2.0/24 drin.

BINAT siehe Anhang...

Viele Grüße
Michael

[mimugmail]

Muss NAT refelction nicht disabled sein? (ausm Kopf raus)

[MichaelR]

Hallo,

habe ich gerade ausprobiert, sowohl deaktiviert als auch aktiviert bringt keine Änderung...  :-\

Viele Grüße
Michael