IPSec: Traffic landet nicht im Tunnel

[Ketanest]

Hallo zusammen,

ich hatte folgende Problematik und habe hierzu auch bereits die Problemlösung gefunden:

Ich habe einen IPSec-Tunnel gebaut zu einem Partner. Leider müssen in Phase 2 aufgrund der Vorgaben des Partners für lokales und entferntes Netz öffentliche Netze benutzt werden, auf unserer Seite wird geNATed. Ich hatte jetzt das Problem, dass Pakete von unserer Seite, die eigentlich im Tunnel landen sollten auf dem WAN Interface (Default-GW) landen.
Der Tunnel wird korrekt aufgebaut, auch die Phase 2. Pakete vom Gegenüber landen auch im Tunnel und danach via DNAT auf unseren Systemen. Diese wiederum antworten an die korrekte Adresse, die Pakete landen wieder auf der OPNSense. Dann jedoch schickt die OPN sie übers Default Gateway auf dem WAN Interface raus, statt in den IPSec Tunnel, was logischerweise dazu führt, dass sie auf der Gegenseite nicht ankommen.

Bei einem IPSec-Tunnel zu einem anderen Partner haben wir nahezu die selbe Konfiguration, nur dass das lokale Netz tatsächlich ein RFC1918-Netz ist, das auf unserer Seite existiert. Auch hier ist das entfernte Netz ein öffentliches. Hier funktioniert aber der Rückweg in den Tunnel.

Problemlösung war:
SPD in Phase 2. Wenn man hier NAT baut, muss man die betroffenen Zielsysteme in Phase 2 bei den SPD entries eintragen, damit diese berechtigt sind, den Tunnel zu nutzen. Die Routing-Entscheidung wird offensichtlich vor dem "Zurückbauen" des NAT getroffen.

Viele Grüße
Ketanest