IPsec NAT mehrere Rechner

Started by marju, February 26, 2020, 01:54:12 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 26, 2020, 01:54:12 PM
Hallo zusammen,
ich bin ein wenig am verzweifeln.
Bisheriger Stand der Dinge:
OpenVPN Server, alles gut, läuft.
Fritzbox per IPSec angebunden, alles gut, läuft.
Jetzt aber zum Problem:
Ich muss 3 Rechner und ein Netzwerk per IPSec bei uns im Haus anbinden.
Leider existiert unser Netz schon beim Dienstleister, so dass ich NAT before IPSec umsetzen muss.
Das klappt leider nicht.
Der Tunnel läuft soweit. Alles grün. Aber kein Ping geht.
Die Konfiguration sieht so aus:
Tunneleinstellung Phase 2:

Lokales Netzwerk:
Typ: Netzwerk
Adresse: unbenutztes neues Netzwerk / 16
Entferntes Netzwerk:
Typ: Netzwerk:
Erster Rechner /32
Mauelle SPD Einträge: Unser lokales Netzerk / 16

Nat eins zu eins:
Schnittstelle: IPsec
Typ: Binat
Externes Netzwerk: unbenutztes neues Netzwerk / 16
Quelle: unser lokales Netzwerk / 16
Ziel: Erster Rechner / 32

NAT reflection ist deaktiviert.

Ping geht leider nicht. Es kommt keine Verbindung zu stande.
Zudem wenn ich mir den Status anschaue, dann kommt von der Gegenseite eine Anfrage von Rechner A rein und die Antwort geht an Rechner C wieder raus.
Irgenwie verliert die OPNSense wer welche Anfrage durch den Tunnel geschickt hat. Bzw. das Nat läuft nicht sauber.

Was ich schon versucht habe:
Natreflection aktiviert.
Phase 2 von Netzerk auf Host

Ich hoffe ihr habt eine Idee dazu. Bin froh über jeden Tip.

Gruß Marc




February 26, 2020, 02:10:56 PM #1
tcpdump auf enc0 mit dem Ping wäre interessant
February 26, 2020, 02:24:45 PM #2
Hi,
wenn ich die Portaufzeichnung auf IPSec starte und den Ping mache, ist die Aufzeichnung leer.
Da kommt nix. :-\
February 26, 2020, 04:07:42 PM #3
Dann funktioniert NAT nicht oder geblockt.
February 27, 2020, 12:01:18 PM #4
Das ist ja das komische an der Sache,
Rechner A sendet rein, Rechner B empfängt die Antwort.
February 27, 2020, 01:34:15 PM #5
Kannst du das mal in IP Adressen ausdrücken?
March 03, 2020, 09:58:18 AM #6
Also:
Einen Tunnel mit bis zu 4 Phase 2 einträgen.
Anfrage kommt von
172.45.10.103 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.115

Anfrage kommt von
172.45.10.115 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.210

Anfrage kommt von
172.45.10.210 --> VPN Tunnel mit NAT 172.26.0.0 --> lokal 172.16.45.30
Antwort geht an:
172.45.10.103

March 03, 2020, 11:17:54 AM #7
Jo, mittlerweile bekannt. NAT geht nur mit einer Phase2 ...
March 03, 2020, 03:26:32 PM #8
Hm, schade.
Gibt es sonst noch irgendeinge Möglichkeit das trotzdem zu realisieren ?
Print
Go Up Pages1
User actions