Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT Tunnel-IP Heimnetzwerk
« previous
next »
Print
Pages: [
1
]
Author
Topic: NAT Tunnel-IP Heimnetzwerk (Read 2012 times)
kenobits
Newbie
Posts: 46
Karma: 0
NAT Tunnel-IP Heimnetzwerk
«
on:
January 20, 2021, 03:14:47 pm »
hi, hoffe euch gehts allen gut. Ich bastel gerade mit ersten Gehversuchen zuhause an meiner opnSense rum und hab mich folgendes gefragt:
kann ich die Tunnel-Adresse von einer Client-To-Site OpenVPN Verbindung auf der Sense so NATen, dass sie im internen Netzwerk eine Adresse aus dem internen IP-Pool bekommt?
WAN / Internet
:
:
:
|
WAN | IP
|
.-----+------. Heimnetz/LAN .------------.
| OPNsense +-----------------+ Heim-Server etc
'-----+------' 10.0.0.0/24 '------------'
|
Tunnel (IP-Range 192.168.0.0/24)
|
.-----+------.
|Internet |
'-----+------'
|
...-----+------... (Clients/Servers)
Momentan haben alle Clients die über VPN verbunden sind eine 192.168er-Adresse im LAN, ich hätte die aber auch gerne mit einer 10er
NAT outbound scheint mir hier ja nicht zu helfen, Bei one-to-one bin ich mir nicht ganz sicher was ich da einstllellen muss
Danke & Grüße
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT Tunnel-IP Heimnetzwerk
«
Reply #1 on:
January 20, 2021, 03:23:50 pm »
> kann ich die Tunnel-Adresse von einer Client-To-Site OpenVPN Verbindung auf der Sense so NATen, dass sie im internen Netzwerk eine Adresse aus dem internen IP-Pool bekommt?
Zur Verifikation:
Du bekommst via Client OVPN Einwahl bspw. 192.168.0.0/24? Dein VPN Client hat nach Einwahl also meistens die .0.2? Und jetzt soll das für interne Geräte aber statt dessen bspw. die 10.0.0.123 zu sehen sein?
Wenn das die Frage ist: Ja das geht. Die IP intern muss aber frei sein. Dann klebst du die als Virtual IP mit auf die Sense und gibst im Outbound NAT an, dass du (nicht auf WAN, sondern LAN dieses Mal) ausgehend von der IP-Range 192.168.0.0/24 bitte auf die IP 10.0.0.123 (sollte dann im Dropdown sein) geNATtet werden willst. Dann solltest du intern für die Geräte mit der 10er Adresse auftauchen.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
kenobits
Newbie
Posts: 46
Karma: 0
Re: NAT Tunnel-IP Heimnetzwerk
«
Reply #2 on:
January 20, 2021, 03:30:39 pm »
Danke für die Antwort
ja genau so, also im Grunde möchte ich dass die VPN Clients im IP-Adressen aus der gleichen Range haben.
Muss ich dann für zB. 3 VPN clients 3 Adressen im LAN reservieren und händisch zuweisen?
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT Tunnel-IP Heimnetzwerk
«
Reply #3 on:
January 20, 2021, 03:35:34 pm »
> die VPN Clients im IP-Adressen aus der gleichen Range haben.
OK das ist dann schwieriger wenns um mehrere geht. Ist die Zuordnung wichtig (also wer welche IP bekommt)? Und genügt nicht eine, müssen die Clients unterscheidbar sein? Wie viele eingewählte Clients gibts? Ansonsten kommst du an die Grenzen deiner LAN Adressen intern, das wäre dann wenig sinnvoll.
Warum brauchst du das genau? Warum genügt kein Routing?
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
kenobits
Newbie
Posts: 46
Karma: 0
Re: NAT Tunnel-IP Heimnetzwerk
«
Reply #4 on:
January 20, 2021, 03:49:22 pm »
Die Zuordnung wer welche benötigt ist nicht wichtig. Ich brauch es eigentlich gar nicht, war mehr eine Überlegung ob das eben geht, dass man seine VPN-Clients im Netz hat wie "normale"
Hatte mal überlegt eine IP-Sec Verbindung zu meinem alten Netzwerk im Kinderzimmer aufzubauen und dann dort auf dem Server nur zuzulassen, dass die IPs aus dem 10er Raum zugreifen dürfen.
Ginge das denn? also dass ich openVPN Clients so nate dass sie wenn sie auf eine andere Site mittels IP-Sec zugreifen sollen dann zB. die 10.0.0123 haben?
Also quasi: VPN Client ----- Tunnelnetz 192.168.0.0/24-----Heimnetz 10.0.0.0/24------IPSecVerbindung(VPN Clients genatet 10.0.0.123)-----Site2 10.0.1.0/24-Server(Zugriff nur für 10.0.00/24 und 10.1.0.0/24)
Ist einfach nur Spielfreude, wenns dir zuviel Zeit kostet da zu antworten, ists kein Thema, brauch das ja nicht zwingend, interessiert mich einfach nur
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: NAT Tunnel-IP Heimnetzwerk
«
Reply #5 on:
January 21, 2021, 05:26:07 pm »
Wenn das OPNsense in den Optionen zulässt - bin mir gerade nicht sicher, müsste das durchspielen - musst du das ggf. gar nicht NATten, aber musst sicherstellen, dass du genug interne IPs im LAN hast, dass da nichts knallt.
Aber wenn du bspw.
Heimnetz: 10.0.0.0/24
OPNsense: 10.0.0.1
Clients: 10.0.0.129-10.0.0.190
Fixe IPs: 10.0.0.193-10.0.0.254
hast (wie du siehst, Clients sind im .128/26 Bereich und die fixen IPs sind im .192/26 Bereich), dann ist der Bereich 10.0.0.64/26 noch "frei" bzw. da ist nichts reingelegt. Wenn du den frei hältst, kannst du theoretisch für VPN Clients den Bereich 10.0.0.64/26 als "Tunnelbereich" angeben. Dann legt man auf der OPNsense die IPs die gebraucht werden als "Proxy ARP" Typ IP Adressen an, damit lokale Geräte (10.0.0.x) die auf Anfragen antworten, den Kram auch brav an die Firewall schicken und nicht versuchen direkt an den Client zu senden (der ja nicht da ist, sondern hinter der Sense per VPN).
Wenn man DAS ordentlich plant und umsetzt (muss ja kein /26er sein wenn du eh nur ein dreckiges Dutzend VPN User hast, dann reicht auch ein /28 bspw.), dann kannst du quasi die Clients im gleichen Netz haben.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
kenobits
Newbie
Posts: 46
Karma: 0
Re: NAT Tunnel-IP Heimnetzwerk
«
Reply #6 on:
February 05, 2021, 04:40:14 pm »
Danke werde ich ausprobieren
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
NAT Tunnel-IP Heimnetzwerk