Traffic über 2 in Reihe geschaltete VPn Tunnel

[svenskalec]

Hallo Gemeinde. Wir haben netzt A,B und C.

Netzt A und B haben einen s2s IPSec und B und C ebenfalls.

Nun möchte ich von A direkt nach C. Geht natürlich nur über B. Ich vermute mal das Stichwort heißt Routing. Firewall A kennt natürlich Netzt C nicht und weis auch nicht wie es dahin kommt. Leider waren meine Suchen im Netzt erfolglos. Hat das schon mal jemand gemacht?  Muss ich nur Einstellungen an Firewall A machen oder auch an Firewall B damit die Anfragen von A nach B umgeleitet werden?

Besten Dank.


Gesendet von iPhone mit Tapatalk

[opnsenuser]

Hi,
wenn es bei A, B, C um verschiedene Standorte mit unterschiedlichen IP Adressbereichen geht, ist Routing das richtige Stichwort.
Die Möglichkeiten ein routing einzurichen sind unterschiedlich, je nachdem was genau angedacht/gewünscht ist.

Vielleicht kannst du ja mal ein wenig mehr details geben. Netztopologie....

BR

[svenskalec]

Puh ok ich Versuchs.

Wir haben einen Hauptstandort der Firma

Netz A

Einen Cloud Standort mit Servern

Netz B

Und nun Je Kunde die unterschiedlichsten Netzt local z.B. 192.168.178.0/24 oder 192.168.5.0/24 oder 10.0.0.0/24

Diese Kunden netzt werden via NAT bei uns übersetzt damit es keine IP Konflikte gibt.

Kunde A 10.33.10.0/24

Kunde B 10.33.20.0/24

Unser Cloud Netzwerk ist also mit allen Kunden Netzen via IPSEC s2s und Hat verbunden.

Um zukünftig Effizienter zu arbeiten wollen wir gerne die Kunden Server via

Firma -> s2s -> Cloud -> s2s -> Kunde

direkt erreichen um z.B. über Powershell zu arbeiten. User erstellen, Rollouts, alles was einem das Leben leichter machen kann um nicht auf jeden einzelnen Server manuell über z.B. Teamviewer zu müssen.

Gestern haben wir erfolgreich das mit dem Nat hinbekommen. Nun müssen wir noch das Routen über zwei S2S Tunnel hinbekommen.

[opnsenuser]

Hi,
Thema Netzdiagram -> https://forum.opnsense.org/index.php?topic=7216
alternativ draw.io
Wo passiert die NAT? auf der Cloud oder Kundenseite?
Ist das IPsec L3 oder L2 konfiguriert?
Hintergrund:
Wenn es in der gesamt Anlage (Hauptstandort, Cloud, Kunden) ein Netz doppelt gibt, "gewinnt" üblicherweise das Netz welches Netztopologisch gesehen am nächsten ist oder auch random (mal hier mal da). > suboptimal.

[svenskalec]

Das Nat erfolgt auf Cloud und Kundenseitig. Da wir bei den Kunden einen Agenten laufen haben ist das beidseitige NAT erforderlich.

Bei uns bekommen die Kunden jeweils ein eigenen netzt und bei den Kunden ist das unsrige netzt immer das gleiche im NAT.

Kannst du mir kurz den Unterschied L2 L3 nat erläutern?

Wir machen 192.168.1.0/24 auf 10.33.10.0/24. stellen wir in der OpnSense unter NAT 1:1 ein.

Das es doppelte Netzt gibt werden wir vermeiden. Deswegen ja das NAT

Gesendet von iPhone mit Tapatalk

[svenskalec]