Hi,VPN Interface? Dafür gibt es auf der OPNsense keinen Interface.Also die Sense baut gar keinen Tunnel auf.Der Tunnel wird nur zwischen dem Cisco-Router und Rechenzentrum aufgebaut. Die Sense ist nur ein Gateway dazwischen. Cisco bekommt von der Sense auch ein eigenes Netz für sein "WAN"-Port.Auf der Sense kommen dann statische Routen die dann die Pakete die für bestimmte Netze gedacht sind, über dem Cisco auch routen.Vielleicht muss eine Sache klar sein: ich kann (darf) weder den Cisco konfigurieren (das passiert NUR ausschließlich durch die Kollegen aus dem RZ und unter gewissen Regeln) noch kann ich weitere Netze ins Tunnel ziehen. Die Einschränkung und dessen Begründung ist mir auch bekannt und angenommen.Nichts desto trotz, will ich nicht, dass mir das eine Einschränkung im eigenen Netz darstellt.So jetzt mal retour zu deinem Vorschlag:Ich verstehe was du vorschlägst, jedoch das bedeutet auch, dass die Zugriffe ins RZ-Netz erfolgen über einem Target (einer IP). Bin mir nicht sicher ob das gewisse Funktionalitäten stören würde.EDIT:Wenn ich besser darüber nachdenke, geht gar nicht, denn 2 der Adressen muss eine bestimmte, im RZ eingetragene Adresse sein (also auch ein Server in RZ kommuniziert mit der übersetzten Adresse mit).Daher muss ich einzelne Adressen auf bestimmte Adressen übersetzen.
Ja, fehlt, da ich den nicht immer automatisch dazu hänge.Allerdings ist der Plan den ich posten kann noch die aktuelle Situation und nicht die neue.Aber grundlegend bleibt es gleich, minus eine Internet-Leitung: wir haben bereits unsere neue Richtfunk-Leitung (mit LTE-Backup), und diese ist stabiler wie die aktuelle DSL und LTE gemeinsam.Fakt ist die Adressen müssen statisch sein (genau zugewiesen) und nicht einfach ein genatetes Interface (was grundlegend ginge), aber wie gesagt, limitiert mich insofern, dass ich keine einzelne IPs zuweisen kann.Daher interessiert es mich, ob mein Vorhaben von oben funktionieren würde.Getestet wird sowieso erst in 3 Wochen (Urlaub).
Also müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das ?
Ich habe noch keine Zeit gehabt deQuoteAlso müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das ?Genau, vollkommen richtig.Und retour natürlich auch: RZ muss auf die gleiche IP im VLAN über eine IP aus dem LAN Netz kommen.
Wenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.
Ich stelle es mir so vor, wie ich das bisher auch gemacht habe und was schon seit Jahren funktioniert.Ich möchte es ja nur auf die OPNsense übertragen.Genau das habe ich versucht in meinen ersten zwei Posts abzubilden.Es ist zB. wichtig, dass unser Telefonie-Server vom RZ angesprochen werden kann. Alle Server sind allerdings im VLAN11. Mit der IP Adresse fängt RZ nix an (und halte es für nicht notwendig zu sagen für welche Firma ich arbeite, aber sagen wir mal es ist in Deutschland sehr bekannt). Und wenn die sagen es geht nicht, dann ist es so.Bisher mache ich eben auf der Sophos eine Additional IP-Address, und dann SNAT und DNAT dazu. Und fertig. Funkt perfekt.QuoteWenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.Für mich ist logisch dass NAT vorm Netz steht, und NAT passiert bevor man ins Netz kommt?
Ahhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.Danke, das werde ich versuchen.
Quote from: kosta on June 28, 2021, 09:26:44 pmAhhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.Danke, das werde ich versuchen.Stichwort BiNAT
