Zusätzliche IP für eine IP

[kosta]

Hallo,

leider weiß ich nicht wie ich den Titel besser nennen soll, aber hier ist die Situation:

Drei Netze.
Site1(LAN(10.10.10.0/24);VLAN11(10.10.11.0/24)<->Cisco-VPN<=S2S=>Site2(LAN3(10.10.30.0/24)).

Site1 ist die OPNsense. Die Sense ist Gateway für den 2. Router, Cisco-VPN, dieser baut ein S2S Tunnel mit Site2 auf.
Site2 akzeptiert ausschließlich 10.10.10.0 als Netz.
Die Aufgabe lautet: aus 10.10.11.0 ins 10.10.30.0 verbinden.

Bisher auf der Sophos habe ich das so gelöst, dass ich mir im 10.10.10.0-Netz eine IP erstellt habe ("Additional Address"), und diese dann mit SNAT und DNAT übersetzt habe.

Wie würde man das auf der OPNsense lösen?
Virtual IP / IP Alias?

Danke

[kosta]

Und eine Frage dazu, solllte das der richtige Weg sein:
Wenn ich dann eine DNAT-Rule erstelle (Port Forward), muss ich ein Interface angeben.
Ich gehe davon aus, dass ich hier das Quell-Interface eingebe, korrekt?

Also für DNAT für IP-Alias zur echten IP, dann wird Interface des Netzes wo sich das IP-Alias befindet ausgewählt?
In meinem Exempel wäre das eben LAN.

Aliquot dazu, bei einem SNAT-Rule (NAT Outbound), wäre das Interface VLAN11.

Und im Falle dass sich die zu übersetzende IP in einem Netz das via IPsec verbunden ist, ist DNAT Intf. dann IPsec.

Liege ich da richtig?

[lfirewall1243]

Mach es doch mit Outbound NAT auf deinem VPN Interface.

Alles was aus dem VLAN kommt und in dein Remote Netzwerk möchte wird mit einer erlaubten Adresse überschrieben.

Oder trag das Netzwerk auf der VPN Seite mit ein. Ist wahrscheinlich die beste und stabilste Lösung. Mal ganz davon abgesehen, vielleicht hat es ja auch einen Grund weshalb das VLAN Netzwerk nicht rüber sollte.

[kosta]

Hi,
VPN Interface? Dafür gibt es auf der OPNsense keinen Interface.
Also die Sense baut gar keinen Tunnel auf.
Der Tunnel wird nur zwischen dem Cisco-Router und Rechenzentrum aufgebaut. Die Sense ist nur ein Gateway dazwischen. Cisco bekommt von der Sense auch ein eigenes Netz für sein "WAN"-Port.
Auf der Sense kommen dann statische Routen die dann die Pakete die für bestimmte Netze gedacht sind, über dem Cisco auch routen.

Vielleicht muss eine Sache klar sein: ich kann (darf) weder den Cisco konfigurieren (das passiert NUR ausschließlich durch die Kollegen aus dem RZ und unter gewissen Regeln) noch kann ich weitere Netze ins Tunnel ziehen. Die Einschränkung und dessen Begründung ist mir auch bekannt und angenommen.

Nichts desto trotz, will ich nicht, dass mir das eine Einschränkung im eigenen Netz darstellt.

So jetzt mal retour zu deinem Vorschlag:
Ich verstehe was du vorschlägst, jedoch das bedeutet auch, dass die Zugriffe ins RZ-Netz erfolgen über einem Target (einer IP). Bin mir nicht sicher ob das gewisse Funktionalitäten stören würde.

EDIT:
Wenn ich besser darüber nachdenke, geht gar nicht, denn 2 der Adressen muss eine bestimmte, im RZ eingetragene Adresse sein (also auch ein Server in RZ kommuniziert mit der übersetzten Adresse mit).
Daher muss ich einzelne Adressen auf bestimmte Adressen übersetzen.

[lfirewall1243]

Hi,
VPN Interface? Dafür gibt es auf der OPNsense keinen Interface.
Also die Sense baut gar keinen Tunnel auf.
Der Tunnel wird nur zwischen dem Cisco-Router und Rechenzentrum aufgebaut. Die Sense ist nur ein Gateway dazwischen. Cisco bekommt von der Sense auch ein eigenes Netz für sein "WAN"-Port.
Auf der Sense kommen dann statische Routen die dann die Pakete die für bestimmte Netze gedacht sind, über dem Cisco auch routen.

Vielleicht muss eine Sache klar sein: ich kann (darf) weder den Cisco konfigurieren (das passiert NUR ausschließlich durch die Kollegen aus dem RZ und unter gewissen Regeln) noch kann ich weitere Netze ins Tunnel ziehen. Die Einschränkung und dessen Begründung ist mir auch bekannt und angenommen.

Nichts desto trotz, will ich nicht, dass mir das eine Einschränkung im eigenen Netz darstellt.

So jetzt mal retour zu deinem Vorschlag:
Ich verstehe was du vorschlägst, jedoch das bedeutet auch, dass die Zugriffe ins RZ-Netz erfolgen über einem Target (einer IP). Bin mir nicht sicher ob das gewisse Funktionalitäten stören würde.

EDIT:
Wenn ich besser darüber nachdenke, geht gar nicht, denn 2 der Adressen muss eine bestimmte, im RZ eingetragene Adresse sein (also auch ein Server in RZ kommuniziert mit der übersetzten Adresse mit).
Daher muss ich einzelne Adressen auf bestimmte Adressen übersetzen.

Mach doch Mal bitte einen grafischen Netzwerkplan (fehlt bei fast jedem Thread von dir, vielleicht von Anfang an mit anhängen) dann kann man dir besser erklären wie das klappen könnte.

[kosta]

Ja, fehlt, da ich den nicht immer automatisch dazu hänge.
Allerdings ist der Plan den ich posten kann noch die aktuelle Situation und nicht die neue.
Aber grundlegend bleibt es gleich, minus eine Internet-Leitung: wir haben bereits unsere neue Richtfunk-Leitung (mit LTE-Backup), und diese ist stabiler wie die aktuelle DSL und LTE gemeinsam.

Fakt ist die Adressen müssen statisch sein (genau zugewiesen) und nicht einfach ein genatetes Interface (was grundlegend ginge), aber wie gesagt, limitiert mich insofern, dass ich keine einzelne IPs zuweisen kann.
Daher interessiert es mich, ob mein Vorhaben von oben funktionieren würde.

Getestet wird sowieso erst in 3 Wochen (Urlaub).

[lfirewall1243]

Ja, fehlt, da ich den nicht immer automatisch dazu hänge.
Allerdings ist der Plan den ich posten kann noch die aktuelle Situation und nicht die neue.
Aber grundlegend bleibt es gleich, minus eine Internet-Leitung: wir haben bereits unsere neue Richtfunk-Leitung (mit LTE-Backup), und diese ist stabiler wie die aktuelle DSL und LTE gemeinsam.

Fakt ist die Adressen müssen statisch sein (genau zugewiesen) und nicht einfach ein genatetes Interface (was grundlegend ginge), aber wie gesagt, limitiert mich insofern, dass ich keine einzelne IPs zuweisen kann.
Daher interessiert es mich, ob mein Vorhaben von oben funktionieren würde.

Getestet wird sowieso erst in 3 Wochen (Urlaub).

Also erstmal

Von wo nach wo soll es in dem Netzwerkplan gehen?
Und was bringt dieser wenn der die Situation nicht wirklich darstellt?

Dann
Also müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das und dann auch jedes Gerät mit einer eigenen IP?

[kosta]

OK, es ist etwas unklar: RZ ist nicht eingezeichnet. Hole ich nach.
Cisco-Router baut ein Tunnel zum RZ, ganz einfach. Und macht das via Sophos (aktuell), und via OPNsense zukünftig.
Bekommt dafür ein eigenes Netz (LAN) auf der OPNsense.

Ich habe noch keine Zeit gehabt den Plan auf die OPNsense anzupassen. Kommt aber.

Also müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das ?

Genau, vollkommen richtig.
Und retour natürlich auch: RZ muss auf die gleiche IP im VLAN über eine IP aus dem LAN Netz kommen. (da RZ diese VLAN nicht tunnelt).

[lfirewall1243]

Ich habe noch keine Zeit gehabt de

Also müssen deine Geräte aus dem VLan mit einer IP aus dem LAN im RZ ankommen oder wie verstehe ich das ?

Genau, vollkommen richtig.
Und retour natürlich auch: RZ muss auf die gleiche IP im VLAN über eine IP aus dem LAN Netz kommen.

Und wie stellst du dir das vor?
Selbst wenn die ganzen Geräte es einigermaßen unterscheiden können was wohin gehört.
Dir scheint es ja wichtig zu sein, die Geräte im RZ sollen zuordnen  bzw. direkt adressieren  können (sonst würde ja auch eine SammelIP bzw. ausgehenden NAT auf dem Interface gehen).
Für ausgehende Verbindung aus LAN und vlan mag es vielleicht klappen.

Aber wenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.


Also wenn du Geräte aus beiden Netzen adressieren möchtest bleibt nur die Möglichkeit das VLan Netzwerk ins RZ zu lassen (wüsste auch nicht was dagegen sprechen sollte).

[kosta]

Ich stelle es mir so vor, wie ich das bisher auch gemacht habe und was schon seit Jahren funktioniert.
Ich möchte es ja nur auf die OPNsense übertragen.
Genau das habe ich versucht in meinen ersten zwei Posts abzubilden.

Es ist zB. wichtig, dass unser Telefonie-Server vom RZ angesprochen werden kann. Alle Server sind allerdings im VLAN11. Mit der IP Adresse fängt RZ nix an (und halte es für nicht notwendig zu sagen für welche Firma ich arbeite, aber sagen wir mal es ist in Deutschland sehr bekannt). Und wenn die sagen es geht nicht, dann ist es so.

Bisher mache ich eben auf der Sophos eine Additional IP-Address, und dann SNAT und DNAT dazu. Und fertig. Funkt perfekt.

Wenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.

Für mich ist logisch dass NAT vorm Netz steht, und NAT passiert bevor man ins Netz kommt?

[lfirewall1243]

Ich stelle es mir so vor, wie ich das bisher auch gemacht habe und was schon seit Jahren funktioniert.
Ich möchte es ja nur auf die OPNsense übertragen.
Genau das habe ich versucht in meinen ersten zwei Posts abzubilden.

Es ist zB. wichtig, dass unser Telefonie-Server vom RZ angesprochen werden kann. Alle Server sind allerdings im VLAN11. Mit der IP Adresse fängt RZ nix an (und halte es für nicht notwendig zu sagen für welche Firma ich arbeite, aber sagen wir mal es ist in Deutschland sehr bekannt). Und wenn die sagen es geht nicht, dann ist es so.

Bisher mache ich eben auf der Sophos eine Additional IP-Address, und dann SNAT und DNAT dazu. Und fertig. Funkt perfekt.

Wenn du jetzt aus dem RZ an ein Gerät aus dem VLan möchtest aber die LAN IP eingibst landest du logischerweise im LAN und nicht im VLan.

Für mich ist logisch dass NAT vorm Netz steht, und NAT passiert bevor man ins Netz kommt?

Nur weil es eine große Firma ist, heißt es lange nicht das Dinge immer sinnvoll sind [emoji23]

Die notwendigen Einstellungen sollten dann unter Firewall->Nat>1:1 sein.

[kosta]

 ;D ;D Stimmt.
Aber echt, komm, hör einfach mit der Einstellung, ist sinnlos.

One-to-One übersetzt doch die ganzen Netze, und nicht die einzelnen IP-Adressen?

[kosta]

Ahhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.
Danke, das werde ich versuchen.

[lfirewall1243]

Ahhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.
Danke, das werde ich versuchen.

Stichwort BiNAT


Aber keine Ahnung ob es damit funktioniert, ist nur ne Vermutung.
Würde es selbst nicht so machen da es am Ende ein sinnloses verschaffen von Problemen ist.

[kosta]

Ahhh OK, ich sehe man kann auch einzelne IPs angeben. Nicht mal danach gesucht, da 1:1 für mich immer für die ganzen Netze galt.
Danke, das werde ich versuchen.

Stichwort BiNAT

Beide Richtungen, schon klar. Danke