Wireguard outbound NAT

[frederik]

Hallo zusammen,
ich habe zwei Netze per Wireguard erfolgreich verbunden. Nun möchte ich outbound NAT einrichten, damit im fremden Netz nicht alle internen Adressen auftauchen und ich keine Rückrouten für andere Subnetzte benötige.
"Interface Wireguard" und "Interface address" oder "LAN address" als NAT Adresse klappt leider nicht.
Hat jemand eine Idee? (NAT soll auf jeden Fall der ausgehende Router machen)
Viele Grüße
Frederik

[mimugmail]

Eigentlich macht der empfangende Router das NAT auf seine LAN Adresse damit die Clients nur die Adresse der lokalen Firewall sehen.

[frederik]

Danke. Ja. Das klappt auch. Lieber wäre mir aber, wenn das (zusätzlich) der sendende Router machen könnte.

[mimugmail]

Ich verstehe den Vorteil nicht ehrlich gesagt :/
Kannst du das in IP Adressen ausdrücken?

[frederik]

zum einen muss der empfangene Router nicht jeden Client kennen und zum anderen will ich auf dem empfangenden Router keine Rückrouten für Subnetze anlegen. Z.B. Anfrage von 1.1.1.1/24 über 2.2.2.2/24 (OPNSense Sender) nach 3.3.3.3/24 (OPNSense Empfänger) . Empfänger OPNSense weiß ja erst mal nicht, dass 1.1.1.1 auf der anderen Seite ist.

[lfirewall1243]

Wie es mit Wireguard läuft weiß ich nicht.
Wahrscheinlich müsstest du die WG Schnitstelle erst noch manuell zuweisen und kannst dann die passende im Outbound NAT hinterlegen (aktuell war wahrscheinlich die falsche hinterlegt).

Vom Prinzip sollte es dann aber funktionieren.

Dennoch ist es mit den Routen schöner. Du kannst am Ende Filtern welche Adressen wohin dürfen, geht natürlich nicht wenn alles von einer IP kommt.