IPSec Routing zu anderen Tunneln

[Adolar]

Hallo zusammen,

ich bin hier an einem Thema, wo ich aktuell nicht weiter komme - vielleicht hilft ja euer Schwarm-Wissen mir weiter  :)

Szenario:
Wir haben am "Standort A" eine OpnSense, welche über IPSec mit "Standort B" und Standort C" verbunden ist.
Unser Büro "Standort D" ist ebenfalls mit dem "Standort A" über IPsec (IKEv1 + NAT) verbunden.

Problem:
Ich komme von "Standort D" (Büro) nicht auf die Systeme von "Standort B oder C".

Muss ich auf "Standort D" noch eine Route definieren?

[Gauss23]

Policy based oder route based IPsec?

Wenn Standort D über Standort A zu B und C kommen soll, müssen alle Beteiligten die Routen kennen, sonst schicken sie die Pakete zur Default Route raus und sind damit verloren.

D.h. alle Standorte kennen den nächsten Hop für alle benötigten Netzwerke.

Policy based würde weitere Phase2 Einträge bedeuten. Route based eben nur weitere statische Routen. Wobei zu beachten ist, dass auch die Firewall-Regeln entsprechend angepasst werden müssen.

[Adolar]

Policy based oder route based IPsec?

Wenn Standort D über Standort A zu B und C kommen soll, müssen alle Beteiligten die Routen kennen, sonst schicken sie die Pakete zur Default Route raus und sind damit verloren.

D.h. alle Standorte kennen den nächsten Hop für alle benötigten Netzwerke.

Policy based würde weitere Phase2 Einträge bedeuten. Route based eben nur weitere statische Routen. Wobei zu beachten ist, dass auch die Firewall-Regeln entsprechend angepasst werden müssen.

Ok, ich verstehe - dann muss ich eine weitere phase2 mit der entsprechenden IP-Adresse (netz) erstellen und dann ein natting am Standort A durchführen oder? Wie konfiguriere ich das NAT am Standort A?