Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Outbound NAT WAN to VPN
« previous
next »
Print
Pages:
1
[
2
]
Author
Topic: Outbound NAT WAN to VPN (Read 7039 times)
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Outbound NAT WAN to VPN
«
Reply #15 on:
July 02, 2019, 03:42:40 pm »
OK du mappst eingehend auf dem WAN von * nach deiner WAN IP tcp/443 auf SSL_VPN_IN/443.
Das müsste somit dann vom Routing aufgegriffen werden und auf die VPN IP geschickt werden.
Via Outbound NAT sollte das dann auf die LAN IP umgeschrieben werden. Allerdings ist deine Outbound NAT auf den Port SSL_VPN_PORT konfiguriert, statt auf tcp/443.
Das zweite könnte sein, dass die das IPSEC Routing in die Suppe spuckt. Da das Paket von "egal wem" kommt, müsstest du theoretisch deine Phase ändern auf Source any statt "local Subnet", weil es sonst wahrscheinlich nicht geroutet wird. Da kenne ich aber die Fortigate auf der anderen Seite nicht, ob die das mitmacht.
Eine andere Variante wäre ggf. noch einen Proxy aufzusetzen, da dieser die Verbindung übersetzen kann. Also bspw. HAProxy mit Frontend auf dem LAN-Interface konfiguriert könnte dann die Verbindung mit dem Backend (der IP im Fortinetz) herstellen und das dorthin weiterleiten.
Oder OVPN, weil Transfernetz. Damit wäre es dann eben in Minuten gelöst :/
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
matzeeg3
Newbie
Posts: 36
Karma: 2
Re: Outbound NAT WAN to VPN
«
Reply #16 on:
July 03, 2019, 07:11:01 pm »
Damit ich nicht eine 0.0.0.0 SA aufbauen muss möchte ich ja auf LAN IP umnatten.
Ich weiß auch das es so funktioniert, ich hatte es so schonmal am laufen, leider war es nur ein testsystem und ich hab vergessen alles zu backupen bevor ich den zugriv verloren habe.
Das Routing auf der Opnsense was eigentlich in den tunnel soll zeigt auf die gw ip der opnsense. warum weiß ich nicht. aber Ping usw. geht sauber durch nur sobald es von wan kommt nicht.
Aber wie gesagt dafür möchte ich ja das SNAT machen.
OVPN geht nicht, das macht die Forti nicht mit...
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Outbound NAT WAN to VPN
«
Reply #17 on:
July 04, 2019, 09:25:57 am »
> Damit ich nicht eine 0.0.0.0 SA aufbauen muss möchte ich ja auf LAN IP umnatten.
Verstehe ich, aber das Routing zwischen deinen SAs läuft ja aktiv NUR via LAN IP. Wenn dein Paket via Forwarding umgeschrieben wird, hätte es als Target dann die Fortinet-Seite IP. Wenn es dann noch Outbound NAT durchläuft, sollte(!) es auch geNATtet werden bevor es in den Routing Stack geht, aber keine Garantie.
Daher unbedingt Forwards + Outbound checken ob das richtig umgeschrieben wird. TCPdump hilft dabei zu sehen, was das Paket macht. Daher mein Hinweis dass deine Regeln nicht zueinander passen (wegen dem Port).
> OVPN geht nicht, das macht die Forti nicht mit...
Indeed, leider. :/
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
matzeeg3
Newbie
Posts: 36
Karma: 2
Re: Outbound NAT WAN to VPN
«
Reply #18 on:
July 04, 2019, 09:57:30 am »
Ja OVPN hätte ich auch gerne auf den Kisten, mal sehen ob da iwann noch was kommt.
ok. Könntest du mir zu dem TCPDump noch was an infos mitgeben?
Wie ich die Forti Troubleshoote weiß ich sehr genau. aber nicht die Opnsense.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Outbound NAT WAN to VPN
«
Reply #19 on:
July 04, 2019, 10:13:44 am »
> Wie ich die Forti Troubleshoote weiß ich sehr genau. aber nicht die Opnsense.
Am Einfachsten sicher auf der Shell via SSH dann TCPDump auf dem internen oder IPSEC Interface machen und gezielt eben nach Traffic auf die FortinetIP oder Interne IP suchen.
Ein Beispiel kannst du hier finden:
https://docs.netgate.com/pfsense/en/latest/monitoring/performing-a-packet-capture.html
sowas wie: tcpdump -nvi <interface> port 443 and host <ip>
Bspw.
tcpdump -nvi ipsec0 port 443 and host 192.168.111.2
(gesetzt es gibt ein ipsec/ipsec0 interface, siehst du aber mit ifconfig -a)
tcpdump -nvi igb0 port 443 and host 192.168.111.2
Sowas in der Art.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
matzeeg3
Newbie
Posts: 36
Karma: 2
Re: Outbound NAT WAN to VPN
«
Reply #20 on:
July 04, 2019, 02:09:18 pm »
Ich glaube so langsam kommen wir dem Problem auf die schliche.
Ich habe eine stehende IPSEC Verbindung, aber kein Interface..
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Outbound NAT WAN to VPN
«
Reply #21 on:
July 04, 2019, 03:36:23 pm »
Doch
enc0 ist dein Freund soweit ich weiß
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
matzeeg3
Newbie
Posts: 36
Karma: 2
Re: Outbound NAT WAN to VPN
«
Reply #22 on:
July 09, 2019, 10:26:15 am »
Hi Sorry für die späte Antwort. Leider sehe ich gar nichts im Enc01, wenn ich das Portforwarding versuche.
Pings von LAN selbst tauchen aber auf. Also werden wohl die Packete nicht ins IPSEC Interface geschoben.
Iwie ist das alles sehr merkwürdig.
Logged
Print
Pages:
1
[
2
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Outbound NAT WAN to VPN