Zugriff von zusätzlichem VLAN auf IPSec-Tunnel

Started by DJ3MG, October 26, 2020, 02:45:42 PM

Previous topic - Next topic
Hallo Zusammen,
nachdem ich das halbe Internet nach meinem Problem durchforstet habe, habe ich leider noch immer keine Lösung gefunden.
Von daher bin ich über eine Hilfe sehr dankbar (auch wenn mir jemand einfach mitteilt, nach was ich suchen muss).

Folgende Situation:
Ich habe einen funktionierenden IPSec-Tunnel von meiner OPNsense Zuhause (172.18.1.0/24) in das Firmennetzwerk laufen (172.21.1.64/26). Ich kann von meinem Netz zuhause ohne Probleme in das Firmennetzwerk kommunizieren.
Nun habe ich zuhause aber ein weiteres Netzwerk, von dem ich auf die IP-Adressen im Firmennetzwerk zugreifen möchte, das aber standardmäßig über mein normales Internetgateway in das Internet verbindet. Der Grund: In meinem normalen Netz (10.0.10.0/24) befinden sich alle PCs und mein SIP-Telefon, dass ich gerne als SIP-Client im Firmennetzwerk betreiben möchte. Trotzdem soll das SIP-Telefon in meinem normalen Netz bleiben, weil es mein privates Telefon ist, dass ich nur zusätzlich für die Firma nutzen möchte (die Erlaubnis meines AG habe ich dafür).

Nun möchte ich eine Verbindung vom 10.0.10.0/24 Netz über den IPSec-Tunnel, der in meinem 172.18.1.0/24 Netz terminiert ist in das VoIP-Netz des Arbeitgebers aufbauen (172.21.1.64/26).

Leider bin ich kein Netzwerkspezialist. Ich truae mir zwar viel zu, und bastele auch gerne am Netzwerk, aber ich habe kein richtiges Profiwissen. Deshalb bin ich für eine Unterstützung sehr dankbar.




Du musst Dein 10er Netz bei beiden beteiligten Geräten mit in die Phase 2 SAs für den Tunnel tun. So funktioniert IPsec ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Quote from: pmhausen on October 26, 2020, 03:30:16 PM
Du musst Dein 10er Netz bei beiden beteiligten Geräten mit in die Phase 2 SAs für den Tunnel tun. So funktioniert IPsec ...

Das ist in seinem Fall aber nur die halbe Miete, denn das in Frage stehende Netz ist nicht mit der OPNsense als default Gateway ausgestattet. Du musst auf dem ISP Router statische IPv4 Routen zu den Netzen, die Deine ISP-Netz-Geräte erreichen sollen, einrichten mit Gateway OPNsense WAN Interface. Dazu dann noch die richtigen Regeln am WAN Interface der sense, um den Traffic aus dem ISP-Router-Netz zuzulassen. Hier solltest Du sehr restriktiv vorgehen (z.B. nur das SIP Telefon durchlassen).
,,The S in IoT stands for Security!" :)

October 26, 2020, 04:46:26 PM #3 Last Edit: October 27, 2020, 08:29:15 AM by pmhausen
Völlig richtig, das hatte ich übersehen.

Worauf es mir ankam - es wird oft mißverstanden, was so ein IPsec-Tunnel eigentlich ist und dann gefragt, wie man dies und jenes "auch noch da durch routen" könne. Routing ist aber nicht transitiv. Von Default-Gateways abgesehen benötigen beide Seiten immer die vollständige Information. Man kann grundsätzlich nicht nur auf einer Seite noch "ein weiteres Netz in den Tunnel routen".

Es sei denn, man nimmt NAT  ;)

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Guten Morgen zusammen,
danke für die Antworten.

Das 10er Netz kann leider auf der anderen Seite nicht bekannt gemacht werden, weil wir hier selber 10er und 192er Netze nutzen (für Kundenteststellungen). Die Frage die sich mir stellt:
Ist in diesem Falle NAT nicht ausreichend und wie richte ich die NAT-Regel ein? Ich möchte ja quasi nur von meinem !0er Netz in das Firmennetz verbinden. Eine aus dem Firmennetzwerk initiierte Verbindung in mein 10er Netz soll nicht erfolgen.

Hallo,

gibt es die Möglichkeit für den Sip-Dienst einen Proxy auf der opnsense zuhause einzurichten?

(Ich kenne mich 0 mit SIP aus, allerdings habe ich bei einem "ähnlichen" Netzwerkproblem mit "einem zusätzlichen Netzwerk/Host" es so gelöst)

Grüße,
Bernd

IPU451, 16GB RAM, 120GB SSD:
OPNsense 22.7.11_1-amd64
FreeBSD 13.1-RELEASE-p5
OpenSSL 1.1.1s 1 Nov 2022

IPU441, 8GB RAM, 120GB SSD:
OPNsense 23.1.1_2-amd64
FreeBSD 13.1-RELEASE-p6
OpenSSL 1.1.1t 7 Feb 2023