WireGuard-Clients erreichen IPsec-Zielnetz nicht – NAT-Regel greift nicht

Started by phiba, July 07, 2025, 09:17:40 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 07, 2025, 09:17:40 AM
Hallo zusammen,

wir verwenden Policy Based IPSEC für die Kommunikation mit drei Kundennetzwerken über VPN.
Wir haben uns auf ein Absendenetz geeinigt, hierfür habe ich eine Outbound NAT Regel eingerichtet die besagt: "any to Alias Kundennetze -> Verstecke hinter 10.10.10.0/24"

nat on enc0 inet from any to <KundeRemoteNetworks> -> 10.10.10.0/24 port 1024:65535
  [ Evaluations: 12303190  Packets: 574712    Bytes: 196748636   States: 0     ]
  [ Inserted: uid 0 pid 97612 State Creations: 53    ]

Die Verbindung steht, für Traffic aus dem LAN greift die NAT Regel, die Pakete werden somit korrekt über VPN geschickt.
Für Kollegen, die sich über Client-OpenVPN einwählen, greift die NAT Regel ebenfalls, der Traffic wird über VPN geschickt.

Für Verbindungen über Wireguard greift die NAT Regel nicht, Pakete werden an das WAN Interface geschickt.
Für Traffic der aus unserer Aussenstelle über IPSEC eingeht, greift die Regel ebenfalls nicht, Pakete gehen an das WAN Interface.

Ich sehe den Evaluations Counter steigen.

Was habe ich übersehen?


July 07, 2025, 09:20:26 AM #1
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-conn-binat.html#preparations

Damit NAT regeln für IPSEC greifen braucht es einen manual SPD entry die das Netz was genattet werden soll erlaubt.
Hardware:
DEC740
July 07, 2025, 11:10:36 AM #2
Vielen Dank, für die OpenVPN hatte ich die tatsächlich eingetragen und dann komplett vergessen.
Print
Go Up Pages1
User actions