Outbound NAT WAN to VPN

Started by matzeeg3, June 20, 2019, 04:21:45 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
June 20, 2019, 04:21:45 PM
Moin zusammen,

ich würde gerne einen Port über meine VPN an ein Ziel hinter dem VPN Tunnel senden.
Nun weil ich die default Route nicht übertragen möchte, möchte ich in Richtung VPN Tunnel Natten. Leider gestaltet sich das nicht ganz so einfach.

Wenn ich nu Outbound nat Einstelle welches Interface muss ich dann verwenden? DAS IPSEC oder das aus meiner RouteBased VPN? Momentan funtzt das NAT garnicht...
Leider

Danke und Gruß
Matze
June 28, 2019, 11:23:04 AM #1
Könntest du das etwas genauer ausführen? Mir ist gerade nicht klar, was du von wo wie erreichen möchtest und welche Techniken (VPN) wo zum Einsatz kommen.

Gruß
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 28, 2019, 11:41:02 AM #2
Folgendes:
Internetzugriff -> WAN:Portx -> VPN -> LAN PortX
Es gibt nur Routen zwischen OPNSENSE LAN und meinem LAN
Wenn nun ein Zugriff aus dem Internet erfolgt, dann müsste ich ja die Source auf die LAN IP der Sense umnatten.

das würde ich auch gerne zun, jedoch wird der Traffic von Extern gar nicht erst Richtung Tunnel geroutet er wird wieder nach WAN rausgesendet, folglich funtz mein Routing nicht.

Ich weiß jedoch nicht wie ich das Fixen soll. Sobald ich auf Routebased VPN umbau, habe ich nicht mehr das Problem das die Pakete nach WAN wollen, dann habe ich das Problem, dass die Pakete nichtmehr wissen ob sie Durch das Tunnel interface oder durch das ipsec interface sollen...
June 28, 2019, 11:44:36 AM #3
Ich versuche es nochmal weil skizzieren nicht so wirklich dein Ding ist ;)

Du möchtest also so ich das verstehe einen Zugriff auf deine WAN Adresse via Internet, bei dir annehmen auf Port X (bspw. 80) und das dann weiterleiten über (WAS für ein VPN!?) ein VPN an einen anderen Standort/Gerät in dessen LAN?

Bitte mal mehr Details sonst wird das nichts. Das mag alles für dich klar sein, aber für mich macht deine "Skizze" keinen Sinn.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 28, 2019, 11:53:32 AM #4
Ich mache es mal einfacher :)
hab da mal was Skizziert :) siehe Anhang
June 28, 2019, 12:08:42 PM #5
Na damit kann man doch arbeiten ;)

Also deine Public IP wird per bspw. 443 angesprochen und du willst den Zugriff dann per VPN an die Fortigate und das LAN dahinter schicken, was .111.x hat?

Ja das geht. Sauberes Routing von der IPSEC Verbindung abgesehen (also sauberes Netz zu Netz mit Regeln die den Zugriff erlauben). Wenn das der Fall ist, solltest du als NAT IP beim Port Forwarding einfach die IP im LAN der Fortigate eingeben können.
Zusätzlich müsstest du noch ein Outbound NAT auf dem IPSec Interface konfigurieren, dass alles was von "any" an die .111.x geht (also die Adresse wohin du forwardest), geNATtet wird auf eine spezifische Adresse. Wenn dein Site2Site mit der Fortigate zwischen deinem bspw. 192.168.123.x und ihrem 192.168.111.x ist, dann müsstest du auf eine Adresse umschreiben, die sie somit kennt, also eine .123.x'er - kann dann auch die LAN IP der OPNsense sein, dann müsste es IMHO gehen.

Grüße
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 28, 2019, 12:12:51 PM #6
Genau das Versuche ich bereits, aber es klappt nicht. Im Log sehe ich dann immer nur, dass die Packete die auf die PIP gehen über WAN wieder raus wollen ;)
June 28, 2019, 01:51:09 PM #7
> Im Log sehe ich dann immer nur, dass die Packete die auf die PIP gehen über WAN wieder raus wollen ;)

In welchem Log? Der Fortigate?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 28, 2019, 02:24:29 PM #8
ne live view von der opnsense
June 28, 2019, 02:56:16 PM #9
> Im Log sehe ich dann immer nur, dass die Packete die auf die PIP gehen über WAN wieder raus wollen ;)

Wenn du DAS auf der OPNsense siehst - was genau ist dann falsch? Die Pakete sollen ja vom

WAN -> genattet IPSEC -> Fortigate -> LAN

und dann müssen die natürlich auch wieder die Strecke zurück bei dir aus dem WAN?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 29, 2019, 10:44:20 AM #10
Bilder sagen mehr als Worte :)
July 01, 2019, 11:41:34 AM #11
Also das was du zur Fortigate packen willst geht nicht dahin sondern ins WAN? Oder wie soll ich das verstehen?

Wie wärs mal die NAT Einstellungen für Forwards, Outbound und die Regeln zu posten ;) Dann ist das auch kein Ratespiel mehr :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 01, 2019, 02:37:59 PM #12
Aber klar du hast ja Recht :)
July 02, 2019, 09:16:23 AM #13
Und was ist SSLVPN_IN? Und wo ist die Regel? Du musst mir nicht unbedingt den Edit-Screen zeigen, die tabellarische Liste täte es auch. Unten nutzt du außerdem SSL_VPN_PORT statt HTTPS. Ich würde da einfach "any" machen um sicher zu gehen. Regeln, Routen und VPN Phase 2 für die Netzeinstellungen wären auch hilfreich.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 02, 2019, 01:01:09 PM #14
So ich hab nun nochmal nen paar Bilder gemacht, ich hoffe ich hab diesmal nichts vergessen.
Print
Go Up Pages1 2
User actions