IPSec como sair com faixa de IP diferente na VPN para sites nao roteaveis

Started by juliocp1976, October 01, 2020, 01:35:16 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 01, 2020, 01:35:16 AM
Ola tenho uma duvida em como configurar o seguinte:

Fiz  configuração entre minha Filial e o Site A através de uma VPN com IPSec, e túnel esta Ok em ambos os lados. Porem os sites/ips que preciso acessar no Site A são zonas internas deste Site A não sendo possível a resolução de nomes. Para eu acessar os endereços do Site A dentro de minha Filial por exemplo eles pedem que tudo que seja de origem de meu túnel cheguem o ip da faixa 10.99.20.x.

Resumindo sempre que as maquinas da minha filial tiverem que acessar o endereço x, y e z que esta hospedado no Site A devem sair pela vpn (IPSec) com endereço 10.99.20.x . Fora esses endereços específicos pode sair direto para internet ou pela vpn (openvpn) se for algum site do ERP corporativo

OPNsense 20.7-amd64



October 09, 2020, 01:06:51 PM #1
Quote from: juliocp1976 on October 01, 2020, 01:35:16 AM
Ola tenho uma duvida em como configurar o seguinte:

Fiz  configuração entre minha Filial e o Site A através de uma VPN com IPSec, e túnel esta Ok em ambos os lados. Porem os sites/ips que preciso acessar no Site A são zonas internas deste Site A não sendo possível a resolução de nomes. Para eu acessar os endereços do Site A dentro de minha Filial por exemplo eles pedem que tudo que seja de origem de meu túnel cheguem o ip da faixa 10.99.20.x.

Resumindo sempre que as maquinas da minha filial tiverem que acessar o endereço x, y e z que esta hospedado no Site A devem sair pela vpn (IPSec) com endereço 10.99.20.x . Fora esses endereços específicos pode sair direto para internet ou pela vpn (openvpn) se for algum site do ERP corporativo

OPNsense 20.7-amd64



Olá Júlio,

Qual sua dúvida especificamente?


Sent from my iPhone using Tapatalk
Cloudfence Open Source Team
October 09, 2020, 01:20:31 PM #2
Quando as maquinas da minha filial tiver que acessar o IP 10.15.63.222 ou 10.22.9.202 (Site A) eles saiam pelo túnel IPSec e com endereços 10.99.20.x
October 09, 2020, 05:47:39 PM #3
Olá Julio!

Se eu entendi corretamente, o que você precisará é de uma configuração Bi-NAT.

Será necessário fazer uma Phase 2 com a rede "10.99.20.X /XX" e nas configurações da mesma, no campo "Manual SPD entries" você irá inserir os IPs (com seus respetivos CIDRs separados por vírgula).
O campo Manual SPD entries indica para a IPsec qual é o IP Local "real" que esta Phase 2 deverá fazer a comunicação.

Após isso, você deverá também fazer um NAT One-to-One, em Firewall: NAT: One-to-One, onde terá que especificar quais IPs ou redes deverão se comunicar entre si.

Também será necessário liberar as devidas regras de entre os firewalls envolvidos.

Para mais detalhes sobre IPsec com Bi-NAT, segue manual do OPNSense no link abaixo:

https://docs.opnsense.org/manual/how-tos/ipsec-s2s-binat.html?highlight=binat


Qualquer dúvida, favor nos contatar novamente.


Print
Go Up Pages1
User actions