Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec VPN - multiple Phase 2 inklusive Source NAT
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPsec VPN - multiple Phase 2 inklusive Source NAT (Read 1333 times)
bsch
Newbie
Posts: 15
Karma: 0
IPsec VPN - multiple Phase 2 inklusive Source NAT
«
on:
August 05, 2021, 03:58:45 pm »
Hallo zusammen,
ich habe aktuell mal wieder ein kleines Problem bezüglich IPsec VPN auf der OPNsense 20.1.7 (virtualisiert).
Es handelt sich um Site-To-Site IPsec VPN (IKEv1) mit zwei Phase2 Einträgen. Aktiviert ist Tunnel Isolation und entsprechende SPD Entries für das Source NAT.
"Outgoing NAT" wurde ebenfalls für beide Netze der Phase2 konfiguriert.
Jedoch funktioniert der "genattete" Zugriff nur für je eine Phase2. Ohne NAT (direkt aus dem im VPN konfigurierten Netz) funktioniert der Zugriff auf beide Zielnetze einwandfrei.
Gibt es da noch irgendwo einen Trick, Kniff oder eine Info wie ich das angehen kann? Oder funktioniert das schlichtweg nicht? In meiner vorherigen FortiGate funktionierte sowas wunderbar. Das fehlt mir aktuell ein wenig.
Vielen Dank im Voraus!
«
Last Edit: August 05, 2021, 04:20:28 pm by bsch
»
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1599
Karma: 176
Re: IPsec VPN - multiple Phase 2 inklusive Source NAT
«
Reply #1 on:
December 21, 2022, 03:23:18 pm »
Da man diesen Thread als erstes Ergebnis in Google bekommt, schreibe ich hier die Lösung des Problems.
- In Phase1 muss
"Tunnel Isolation"
und "Install Policy" aktiviert sein.
- In jeder Phase 2 muss ein SPD Eintrag gesetzt werden, und zwar von den Netzen/IPs welche in den Tunnel geNATet werden sollen. (z.B. 192.168.2.0/24)
- Es muss ein manuelles Outbound NAT gesetzt werden. Das Interface der Regel ist IPSEC.
Diese Konfiguration funktioniert zwischen 2 Geräten die Strongswan nutzen (Opnsense - XG Firewall)
Logged
Hardware:
DEC740
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec VPN - multiple Phase 2 inklusive Source NAT