OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • NAT vor route-based VPN
« previous next »
  • Print
Pages: [1]

Author Topic: NAT vor route-based VPN  (Read 801 times)

bsch

  • Newbie
  • *
  • Posts: 15
  • Karma: 0
    • View Profile
NAT vor route-based VPN
« on: May 19, 2023, 08:06:26 am »
Hallo zusammen,

ich habe mal eine Frage bezüglich einem route-based VPN. Und zwar handelt es sich um folgendes Szenario:

Ich verwalte auf meiner Seite eine OPNsense. Die Gegenseite ist ein fremd-verwaltetes Amazon AWS Netzwerk zu dem eine route-based VPN-Verbindung aufgebaut wird. Der Tunnel ist online (Phase1 und Phase 2 erfolgreich aufgebaut).
Die Gegenseite erwartet (aus Gründen) aber ein anderes als mein LAN-Netz (ein /16). In der alten FW (FortiGate) konnte ich das NAT ohne Probleme konfigurieren. In der Sense bekomme ich das nicht ans Laufen. Weder per One-To-One BI-NAT noch per Outbound NAT-Regel. Sobald die NAT Regel greift, läuft der Traffic nicht ins VPN rein. Deaktiviere ich sämtliche NAT-Regeln für diesen Traffic, landet der Traffic mit seiner richtigen IP-Adresse im VPN. Die Gegenseite kann aber nicht mit der Adresse arbeiten und erwartet wie gesagt ein anderes Netz.

Ist das schlichtweg nicht möglich? Muss ich vllt zusätzlich SPD Einträge setzen? Das kann man ja in einem "normalen" Tunnel einfach in der Phase2 konfigurieren.
Logged

Monviech (Cedrik)

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1601
  • Karma: 176
    • View Profile
Re: NAT vor route-based VPN
« Reply #1 on: May 19, 2023, 10:22:39 am »
Es gibt einen BUG in FreeBSD der es nicht erlaubt, Route Based und Policy Based IPsec Tunnel zu mischen, und auch gleichzeitig NAT bei beiden zu verwenden.

Man muss sich bei NAT entweder für NUR Route Based VPNs oder für NUR Policy Based VPNs entscheiden.

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=248474

Aus dem Grund verwende ich NAT nur mit policy based ipsec tunneln, dort funktionieren dann auch die SPD Einträge.
Logged
Hardware:
DEC740

bsch

  • Newbie
  • *
  • Posts: 15
  • Karma: 0
    • View Profile
Re: NAT vor route-based VPN
« Reply #2 on: May 19, 2023, 10:25:15 am »
Vielen Dank für die schnelle Antwort! Das war mir nicht bekannt.

Mit Policy-Based VPNs und NAT habe ich auch durchweg positive Erfahrungen. Da habe ich auch sehr viele Tunnel gebaut.

Allerdings verlangt es in diesem Fall die Gegenseite nunmal so leider. Dann muss ich da wohl etwas anderes außerhalb der FW basteln. Oder hast du einen Work-Around parat? :)

Danke!
« Last Edit: May 19, 2023, 10:26:51 am by bsch »
Logged

Monviech (Cedrik)

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1601
  • Karma: 176
    • View Profile
Re: NAT vor route-based VPN
« Reply #3 on: May 19, 2023, 10:36:29 am »
Du musst dir mal den Link zum Bug durchlesen. Dort gibt es Kommentare wie man das Verhalten patchen kann. Aber dadurch gibt man dann die NAT Funktion von Policy Based VPNs komplett auf und kann nur noch NAT mit VTI machen.

EDIT: Du wirst wohl basteln müssen. Ein zusätzliches Gerät/VM welches VTI mit NAT übernimmt.
« Last Edit: May 19, 2023, 10:45:41 am by Monviech »
Logged
Hardware:
DEC740

bsch

  • Newbie
  • *
  • Posts: 15
  • Karma: 0
    • View Profile
Re: NAT vor route-based VPN
« Reply #4 on: May 19, 2023, 10:51:51 am »
Jap, daher meine Frage :D Ich möchte idealerweise nichts aufgeben. Nunja, wenn das nicht geht, muss ich dafür wohl eine weitere VM nutzen. Nützt ja nichts.
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • NAT vor route-based VPN
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2