NAT vor route-based VPN

Started by bsch, May 19, 2023, 08:06:26 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 19, 2023, 08:06:26 AM
Hallo zusammen,

ich habe mal eine Frage bezüglich einem route-based VPN. Und zwar handelt es sich um folgendes Szenario:

Ich verwalte auf meiner Seite eine OPNsense. Die Gegenseite ist ein fremd-verwaltetes Amazon AWS Netzwerk zu dem eine route-based VPN-Verbindung aufgebaut wird. Der Tunnel ist online (Phase1 und Phase 2 erfolgreich aufgebaut).
Die Gegenseite erwartet (aus Gründen) aber ein anderes als mein LAN-Netz (ein /16). In der alten FW (FortiGate) konnte ich das NAT ohne Probleme konfigurieren. In der Sense bekomme ich das nicht ans Laufen. Weder per One-To-One BI-NAT noch per Outbound NAT-Regel. Sobald die NAT Regel greift, läuft der Traffic nicht ins VPN rein. Deaktiviere ich sämtliche NAT-Regeln für diesen Traffic, landet der Traffic mit seiner richtigen IP-Adresse im VPN. Die Gegenseite kann aber nicht mit der Adresse arbeiten und erwartet wie gesagt ein anderes Netz.

Ist das schlichtweg nicht möglich? Muss ich vllt zusätzlich SPD Einträge setzen? Das kann man ja in einem "normalen" Tunnel einfach in der Phase2 konfigurieren.
May 19, 2023, 10:22:39 AM #1
Es gibt einen BUG in FreeBSD der es nicht erlaubt, Route Based und Policy Based IPsec Tunnel zu mischen, und auch gleichzeitig NAT bei beiden zu verwenden.

Man muss sich bei NAT entweder für NUR Route Based VPNs oder für NUR Policy Based VPNs entscheiden.

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=248474

Aus dem Grund verwende ich NAT nur mit policy based ipsec tunneln, dort funktionieren dann auch die SPD Einträge.
Hardware:
DEC740
May 19, 2023, 10:25:15 AM #2 Last Edit: May 19, 2023, 10:26:51 AM by bsch
Vielen Dank für die schnelle Antwort! Das war mir nicht bekannt.

Mit Policy-Based VPNs und NAT habe ich auch durchweg positive Erfahrungen. Da habe ich auch sehr viele Tunnel gebaut.

Allerdings verlangt es in diesem Fall die Gegenseite nunmal so leider. Dann muss ich da wohl etwas anderes außerhalb der FW basteln. Oder hast du einen Work-Around parat? :)

Danke!
May 19, 2023, 10:36:29 AM #3 Last Edit: May 19, 2023, 10:45:41 AM by Monviech
Du musst dir mal den Link zum Bug durchlesen. Dort gibt es Kommentare wie man das Verhalten patchen kann. Aber dadurch gibt man dann die NAT Funktion von Policy Based VPNs komplett auf und kann nur noch NAT mit VTI machen.

EDIT: Du wirst wohl basteln müssen. Ein zusätzliches Gerät/VM welches VTI mit NAT übernimmt.
Hardware:
DEC740
May 19, 2023, 10:51:51 AM #4
Jap, daher meine Frage :D Ich möchte idealerweise nichts aufgeben. Nunja, wenn das nicht geht, muss ich dafür wohl eine weitere VM nutzen. Nützt ja nichts.
Print
Go Up Pages1
User actions