IPsec mit gleichen Netzen

[greeno]

hi zusammen,

ist es möglich 2 Netze z.b. 192.168.1.x über VPN zu verbinden ... wenn die Gateways unterschiedlich wären?
oder ist das nicht möglich?

danke

[hbc]

Spontan würde ich mal sagen, ohne wenigstens NAT zu machen, kann ich es mir nicht vorstellen. Schließlich sind die IPs ja dann vermutlich doppelt vorhanden. Warum sollten die durch den VPN-Tunnel gehen, wenn im lokalen Netz selbige ebenfalls erreichbar sind?

[lfirewall1243]

Hi,

wenn die Adressen alle lokal erreichbar sind, würde ich mir VPN Zeugs sparen.
Ist alleine dann schon reine verschwendung von Rechenleistung

[hbc]

Sorry, mein Fehler. Hatte es so verstanden das auf beiden Seiten das Netz 192.168.1.0/24 existiert.
Klar kann man zwei Netze mit IPSec verbinden. Musst Du Site-to-Site VPN einrichten.

[greeno]

ich meinte auch das 2 bestehende Orte gleiches Netz zu verbinden wären...

[lfirewall1243]

als Standort 1 hat 192.168.1.0/24 und Standort 2 ebenfalls?

[mimugmail]

https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-binat.html

Passt 1:1 ...

[greeno]

als Standort 1 hat 192.168.1.0/24 und Standort 2 ebenfalls?

"dummerweise" ist das genau so...

[greeno]

https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-binat.html

Passt 1:1 ...

äm is nicht genau das... oder?
wenn wir beide Standorte mit 192.168.1.0/24 haben... !?!?!

[chemlud]

tinc?

[mimugmail]

https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-binat.html

Passt 1:1 ...

äm is nicht genau das... oder?
wenn wir beide Standorte mit 192.168.1.0/24 haben... !?!?!

Hast du den Text gelesen und verstanden?

Mit IPSec kannst du das nur lösen wenn Standort A um zu Standort B will 192.168.2.0 verwendet statt 1.0. Andersrum muss Standort B zu A 192.168.3.0 verwenden. Hinten rum wirds halt dann wieder genattet.

[hbc]

Hast du den Text gelesen und verstanden?

Ersteres vermutlich ja, letzteres wohl eher nicht.

@greeno:

Was ich in meiner ersten Antwort meinte war ja genau das Problem, daß z.B. die 192.168.1.10 an beiden Standorten vorkommen kann. Jeder vernünftig konfigurierte Rechner würde folglich die 192.168.1.10 wie alle anderen Rechner aus seinem eigenen Subnetz bei sich im Netz suchen und nicht per VPN-Tunnel an einem Remotestandort.

Deswegen mußt Du mit NAT arbeiten und den Remote-Standort unter einem anderen Netz verfügbar machen, z.B. 192.168.2.0/24, womit dann der Rechner 192.168.1.10 im Remotenetzwerk unter 192.168.2.10 angesprochen würde. Dann geht die Anfrage nach 192.168.2.10 an Dein Default-Gateway (OPNsense) und dort in Deinen VPN-Tunnel, kommt am anderen Tunnelendpunkt wieder raus und wird da dann an die 192.168.1.10 weitergeleitet.
Im Remotenetzwerk geschieht gleiches, nur das man dort eben dann auf 192.168.3.0/24 mapped.

Ohne NAT:
Wie willst Du anders sonst auch sagen welche 192.168.1.x Adresse Du ansprechen willst? Nicht mal ein Mensch würde bei der Ansage der IP-Adresse wissen, ob Du jetzt über die lokale oder die Remote-Adresse sprichst.

Mit NAT:
Wenn Du an Standort A von 192.168.2.10 sprichst, dann weiß man, daß Du die 192.168.1.10 an Standort B meinst und wenn Du an Standort B von 192.168.3.10 sprichst, dann ist klar, daß die 192.168.1.10 an Standort A gemeint ist.

[greeno]

hab das jetzt gelesen... verstehs nicht 100%ig...
mache ich Phase 1 auf "falsche" Ips und korrgier das dann in Phase 2 mit Manual SPD entries