1:1 Nat Openvpn

[lfirewall1243]

Hallo zusammen,

und zwar habe ich vor das ein Netz hinter einer IP aus dem anderen VPN Netz versteckt wird (sol auch ein einseitiger Zugriff werden) dazu Nutze ich die 1:1 Nat Funktion, was im Prinzip auch läuft.
Unten habe ich mal die aktuelle Situation und das genauere Problem aufgeführt, vielleicht hat hier ja jeman einen Lösungsvorschlag.

Firewall A:
LAN: 192.168.100.253
1:1 NAT auf 192.168.200.10 (Nat auf der VPN Schnitstelle, Richtung Firewall B)

Firewall B
LAN: 192.168.200.253
Server: 192.168.200.5

Beim Zugriff von LAN A nach Server

Der Server bekommt die Pakete von der 192.168.200.10 und schickt diese auch dorthin zurück, anscheinend weiß die Firewall B aber damit nichts anzufangen. Denn wenn ich auf dem Server eine Route einrichte (alles an die 192.168.200.10 geht an die 192.168.200.253) funktioniert alles. Muss man in der Firewall B noch etwas einrichten?

[lfirewall1243]

ich haber bereits versucht auf der Firewall eine Route auf der Firewall B einzurichten

alles an 192.168.200.10 geht an 192.168.200.253

doch leider ohne Erfolg

[micneu]

ich verstehe nicht was du damit bezweckst.
aber mach doch einfach eine firewall regel die den zugriff auf das netz von der openvpn blockt.

[lfirewall1243]

Also das eine Netzt soll halt für einige Dienste dort einfach eine IP aus dem Netz haben und dort hinter versteckt sein. Da manche Geräte nicht damit klar kommen, wenn die IP aus dem anderen Netz kommt.

Gesendet von meinem MI 9 mit Tapatalk

[lfirewall1243]

Hat wirklich niemand eine Idee?

[JeGr]

Ideen schon aber der Paketfluß ist mir nicht wirklich klar. Kannst du das vielleicht skizzieren und hervorheben, was genau jetzt momentan nicht geht?

Danke!

[lfirewall1243]

Das Prinzip soll sein, Netz A soll per VPN auf Netz B zugreifen.
Netz B aber nicht auf Netz A.
Für die Geräte aus Netz B sollen die Anfragen von einer IP aus Netz B kommen (funktioniert).
Diese Geräte schicken die Antwort Pakete dann auch an diese IP zurück (funktioniert)
Die Antwortpakete werden allerdings nicht auf der Opnsense Seite B verarbeitet und an die OPNsense A zurück geschickt.

Ziel:
Die Geräte aus Netz B sollen Netz A garnicht kennen und auch nicht wissen welches IP-Netz dahinter steckt


Skizze:
Versuche das hier mal leichter zu veranschaulichen.

"Hinweg"
192.168.100.0/24                                                                  VPN
PcA      ------->         SenseA              ------> alle Pakete gehen als 192.168.200.10 raus  ----> Sense B   
                            192.168.100.253                                                                              192.168.200.253
--------> PcB (bekommt Paket von der 192.168.200.10)
       192.168.200.0/24

"Rückweg"

PcB -----> schickt Antwort an 192.168.200.10  -----> Sense B bekommt Paket von PcB auf der 192.168.200.10 (ab hier geht es nicht mehr weiter) ------> Sense B soll Pakete von der 200.10 an Sense A schicken (normaler Rückweg eigentlich) ----> Sense A -----> PcA
Richte ich auf PcB hingegen die folgende Route manuell ein

Code: [Select]

route add 192.168.200.10 mask 255.255.255.255 192.168.200.253 funktioniert alles.

[JeGr]

> Netz B aber nicht auf Netz A.

> Die Geräte aus Netz B sollen Netz A garnicht kennen und auch nicht wissen welches IP-Netz dahinter steckt

OK das ist einfach wirr und diffus. Netz B soll nicht auf A zugreifen und kennen aber trotzdem sollen Pakete von B an A gehen und zurück - na was denn nun? Das macht so doch keinen rechten Sinn?

---

Gut schauen wir mal die "Skizze". Hinweg ist also PC-A via Sense A (Default Router?) und VPN zur Sense B und dem PC-B. GeNATtet sollte dabei auf Sense B werden?

Rückweg: B sendet an sein .10? Wer ist denn überhaupt die .10? Die ist da nirgends eingezeichnet? Wer hat die .10? Du kannst ja nicht irgendwelche IPs einfach zum NATten nehmen die nirgends konfiguriert sind?

Und irgendwelche seltsamen Route Hacks bringt da auch wenig, denn von dem was ich da sehe ist das einfach nicht richtig konfiguriert.

Also:

- Wer NATtet überhaupt auf die .200.10 in deinem Szenario?
- Wer IST die .200.10 bzw. wer HAT diese IP aktiv?
- Welche Routen haben die Sense A und Sense B? Kennen die Ihre Netze gegenseitig? Und warum sollen partout die PCs auf Seite B nicht einfach ihre Kram an .100.x schicken und das wird ganz normal von der Sense B via Routing zurückgeschickt? Wofür der ganze Umstand?
- Wenn schon geNATtet wird, dann sollte an der Stelle die Sense B logischerweise NATten und die IP selbst haben (Alias IP .10 definieren, Outbound NAT ins LAN definieren und als Source die .100.x IP Range definieren, dann wird alles über den Tunnel ankommende von .100.x abgehend ins LAN auf .200.10 geNATtet und auch sauber wieder empfangen.

Gruß