Ist IPsec über ein Transfernetz möglich

[opnforumuser]

Hallo,
ist IPsec in der folgenden Konfiguration möglich, wenn auf der Seite A zwischen der Public IP und der OpnSense ein Transfernetz liegt?
Wie müsste die Seite B dann eingerichtet werden um die OpnSense auf der Seite A zu erreichen?

Code Select Expand

            -------                      -------           
            |  A  |                      |  B  |           
            -------                      -------           
                                                           
-----------------------------  ---------------------------
| WAN x.x.x.1               |  |                         |
| Router                    |  |     PPPoP x.x.x.2       |
| LAN 10.1.1.1              |  |                         |
-------------v-------v-------  -----------v---------------
              |       |                    |               
              |       v                    |               
              |       TK                   |               
              |     Anlage                 |               
              |                            |               
-------------v---------------  -----------v---------------
| WAN 10.1.1.2              |  | WAN PPPoE x.x.x.2       |
| Opensense                 |  | Opensense               |
| LAN 192.168.1.1           |  | LAN 192.168.2.1         |
|                           |  |                         |
-----------------------------  ---------------------------
| IPsec Phase 1             |  | IPsec Phase 1           |
| Interface WAN             |  | Interface WAN           |
| Remote Gateway x.x.x.2    |  | Remote Gateway ?.?.?.?  |
|                           |  |                         |
-----------------------------  ---------------------------


[Lochkartenknipser]

Hallo opnforumuser,
auf dem einfachen Weg geht das nicht, weil Du die OPNsense nicht direkt ansprechen kannst. Wenn auf den lokalen Gateways die jeweils die Öffentlichen IPs halten die IPSec-Ports offen sind (ESP, UDP 500 und UDP 4500), kannst Du über eine OPNsense die z.B. bei Hetzner in der Cloud gehostet ist und eine öffentliche v4 Adresse hat die beiden lokalen OPNsense miteinander per IPSec verbinden.
Ich habe so ein ähnliches Konstrukt laufen.

Grüße
Lochkartenknipser

[opnforumuser]

Hallo,

Danke für die Info.

Ich habe auf der Lancom Internetseite eine Konfiguration über zwischengeschaltete Router gefunden.

Ich müsste wie dort beschrieben beide Opnsense mit NAT-T konfigurieren.

Dort im 3. Beispiel wäre meine B die (2) und meine A die (4)
Müsste dann auf der (3) Lancom ein NAT x.x.x.1 zur 10.1.1.2 einrichten.

Bei der LanCom gibt es eine einfache Einstellung

• (x) Nat Transversal aktiviert.
  Entsprechendes gibt es auch in der OPNsense unter IPsec P1 : NAT Traversal = enabled.
  Set this option to enable the use of NAT-T (i.e. the encapsulation of ESP in UDP packets) if needed, which can help with clients that are behind restrictive firewalls.
  
  Ich teste das mal und berichte über Erfolg oder auch Mißerfolg.
  

[Lochkartenknipser]

Warum baust Du den IPSec-Tunnel nicht über die Lancom auf wenn Dein GW das am Internet hängt eine Lancom ist? Wenn Du eine normale Lancom hast, kannst Du 5 IPSec-Tunnel gleichzeitig aufbauen. Bei einer R883+ (DTAG-Version) kannst Du 3 gleichzeitige IPSec Tunnels aufbauen. Dann brauchst Du nicht zu Natten.
Hinter der Lancom hängt dann die OPNsense mit allen OPNsense-Funktionen. Den Traffic von der OPNsense schickst Du dann per Policy Based Routing durch den Lancom IPSectunnel oder direkt aus der Lancom ins Internet.
Aber das Natten wie Du es vorhast, wird auch funktionieren. Du schickst dann aber den Internettraffic für IPSec durch das Transfernetz. Das versuche ich immer zu vermeiden.
Gruß

[opnforumuser]

Ist nur eine vorübergehende Lösung, die Lancom wird im Februar durch eine andere Leitung (anderes Gerät)  ersetzt, dann steht eine direkt IP zur Verfügung.