IPsec Routing / NAT [EDIT: OpenVPN Routing / NAT]

[d12turb3d]

Hallo zusammen,

ich bin zwar nicht unbedarft, was das Thema Netzwerktechnik angeht, jedoch absoluter OPNsense-Neuling.

Was habe ich vor?:
Zu Hause habe ich eine OPNsense als Router laufen. Zudem habe ich eine OPNsense bei einem Cloudanbieter als Router angelegt. Diese beiden sind über eine Tunnel - IPsec-Verbindung verbunden.
Ich möchte nun, dass wenn ich die öffentliche IPv4:Port der Cloud-OPNsense aufrufe, ich ein Ziel in meinem heimischen Netzwerk aufrufen kann. Das ganze mal veranschaulicht:

Code: [Select]


Zu Hause                                                                                                   "Cloud"-OPNsense
           
        WAN | IPv4                                                                                         WAN | IPv4 | 1.2.3.4/22
            |                                                                                                         |
      .-----+---------.                                                                                       .-----+---------.
      |  OPNsense |----eingerichteter und funktionierender IPsec-Tunnel----|  OPNsense |
      '-----+---------.                                                                                       '-----+---------.
            |                                                                                                         |
        LAN | 192.168.15.0/24                                                                         LAN | 10.50.0.0/24
            |                                                                                                         |
      .-----+------.                                                                                            Ungenutzt
      | LAN-Switch |
      '-----+------'
            |
    NAS | 192.168.15.1/24

Gewünschtes Verhalten:
Aufruf der Seite https://1.2.3.4:12345 routet/natet durch den IPsec-Tunnel ins heimische LAN auf das NAS 192.168.15.1:12345

Bereits konfiguriert
Beide Firewalls sind bzgl. WAN/LAN konfiguriert und der IPsec-Tunnel steht.

Welche NAT / Rules / Routes muss ich nun anlegen, damit der Traffic dahin kommt, wo er hin soll?

Vielen Dank im Voraus!

Gruß
Sebastian

[Gauss23]

Meines Erachtens ein einfacher Port-Forward auf der Cloud OPNsense zum NAS.
Klappt das nicht?

[d12turb3d]

Meines Erachtens ein einfacher Port-Forward auf der Cloud OPNsense zum NAS.
Klappt das nicht?

Hallo Gauss23,

danke für den Input. War auch meine Idee, klappt aber leider nicht.
Die NAT-Rule:

Code: [Select]

                        Source               Destination                NAT

Interface     Proto     Address     Ports     Address         Ports     IP                       Ports

WAN           TCP        *           *       WAN Address          12345   192.168.15.1      12345


Und eine WAN-Rule, die Port 12345 auf der WAN-Addresse erlaubt.

[JeGr]

Ich denke der IPSEC Tunnel wird das Problem sein, denn deine Anfrage vom Internet aus schlägt auf deiner Cloud-Sense auf, wird durch den Tunnel laufen und dann... wie kommt die Antwort wieder zurück? Bei IPsec wird kein reply-to bei den pf Regeln erzeugt wie bei OpenVPN (da sind wir wieder ) und genau jetzt kommt das Problem ins Spiel, dass dein NAS das Paket beantwortet an die IP aus dem Internet, deine Sense daheim jetzt aber nicht erkennt, dass sie DEN Traffic bitte wieder durch den Tunnel schieben soll, weil sie nur die IP sieht -> Internet Adresse also via Default GW rausschieben.

Je nachdem wie dein IPSec Tunnel definiert ist (von der Phase her) kann also der Traffic eben nicht zurücklaufen.
Alternativen: Nimm statt dessen OpenVPN oder Wireguard für den Tunnel. Beide können dann mittels einem extra Interface zuweisen ein Gateway erzeugen, über das geroutet werden kann. Damit - und mit der reply-to Magie der Regeln - wird dann der Antwort-Traffic auch wieder übern Tunnel geschoben. Dann klappt das auch mit der Weiterleitung von IP4 oder IP6 Adressen von der Cloud Appliance nach Hause.

Cheers
\jens

[Gauss23]

Interessehalber: ginge route-based IPsec? Da hat man dann doch ein Interface?

[JeGr]

> Interessehalber: ginge route-based IPsec? Da hat man dann doch ein Interface?

Ich glaube das wäre dann ein Jein mit VTIs, da nach meinem letzten Stand - evtl ist das aber schon veraltet - es bei VTI zwar so ist, dass man wie bei OVPN ein Gateway mit einem Transfernetz zwischen den Punkten hat, über das dann geroutet werden kann. Aber: der Rückweg bleibt eine Source Adresse aus dem Internet, welches dann ggf. den falschen Weg nehmen würde (weil über WAN statt VPN dann zurückgeroutet). Man könnte aber in dem Fall mit eingehendem NAT arbeiten auf der Cloud-Seite. Da müssten ausgehende Pakete in den Transfernetz-Tunnel von der Cloud-FW via VPN geNATtet werden, damit die von der Cloud Firewall "stammen" und dann auch wieder an diese zurückgeschickt und übern Tunnel gesendet werden.

Automatisch würde es IMHO nicht gehen, weil bei IPSEC VTI in FreeBSD AFAIR noch kein reply-to mit pf funktioniert und daher das automatische rücksenden nicht greifen würde.

[d12turb3d]

Ich denke der IPSEC Tunnel wird das Problem sein, denn deine Anfrage vom Internet aus schlägt auf deiner Cloud-Sense auf, wird durch den Tunnel laufen und dann... wie kommt die Antwort wieder zurück? Bei IPsec wird kein reply-to bei den pf Regeln erzeugt wie bei OpenVPN (da sind wir wieder ) und genau jetzt kommt das Problem ins Spiel, dass dein NAS das Paket beantwortet an die IP aus dem Internet, deine Sense daheim jetzt aber nicht erkennt, dass sie DEN Traffic bitte wieder durch den Tunnel schieben soll, weil sie nur die IP sieht -> Internet Adresse also via Default GW rausschieben.

Je nachdem wie dein IPSec Tunnel definiert ist (von der Phase her) kann also der Traffic eben nicht zurücklaufen.
Alternativen: Nimm statt dessen OpenVPN oder Wireguard für den Tunnel. Beide können dann mittels einem extra Interface zuweisen ein Gateway erzeugen, über das geroutet werden kann. Damit - und mit der reply-to Magie der Regeln - wird dann der Antwort-Traffic auch wieder übern Tunnel geschoben. Dann klappt das auch mit der Weiterleitung von IP4 oder IP6 Adressen von der Cloud Appliance nach Hause.

Cheers
\jens

Hallo Zusammen,

entschuldigt bitte meine späte Rückmeldung,  ich war durch einen Unfall ein paar Wochen außer Gefecht gesetzt.

Ich habe mir den Wink mit dem OpenVPN-Tunnel zu Herzen genommen. Dieser steht auch, und Ping ist auch in beide Netze möglich.
Doch wie gehe ich jetzt weiter vor? -Auf der Cloud-OpenVPN ist noch das NAT wie oben beschrieben eingerichtet, die interne Ressource kann jedoch nicht aufgerufen werden.
Muss ich da jetzt noch irgendetwas routen?

Danke im Voraus!
Sebastian