NAT Public IP OPNsense hinter Mikrotik

[raider2k23]

Hi,

Ich habe ein Problem mit meiner OPNsense hinter einem Mikrotik Router mit fibre SFP module

Leider bin ich noch recht neu im Umgang mit der OPNsense, daher die Frage, ob mir hier jemanden helfen kann?

Hier der Aufbau:

Mikrotik
WAN IP 185.230.xxx.2
LAN  192.168.88.0/24

OPNsense
WAN IP 192.168.88.253
LAN  192.168.30.0/24

Nun möchte ich die WAN IP vom OPNsense per NAT/masq auf die WAN IP vom Mikrotik setzen, u.a. für IPsec.

OpenVPN arbeitet ohne Probleme in dem ich per NAT am Mikrotik 192.168.88.253 zu 185.230.xxx.2 übersetze..
Da OpenVPN also funktioniert, sollte auch ein Weg möglich sein, IPsec zum laufen zu bekommen, oder?

[micneu]

also, so wie ich es verstanden habe musst du doch nur eine exposte host (so nennt sich das bei einer fritzbox) machen (portweiterleitung) an dem Mikrotik ziel die sense.
bei dem Mikrotik da kann ich dir nicht helfen, am besten im Mikrotik forum fragen wie das geht.

[Maurice]

NAT ist bei IPsec deutlich frickliger als bei OpenVPN.

Hast Du den Mikrotik ausschließlich wegen dem Faser-SFP? Sonst tut der nichts? Dann bridge doch dort das SFP auf den Port, an dem OPNsense hängt. So bekommt OPNsense die öffentliche IPv4-Adresse direkt.

Grüße
Maurice

[raider2k23]

NAT ist bei IPsec deutlich frickliger als bei OpenVPN.

Hast Du den Mikrotik ausschließlich wegen dem Faser-SFP? Sonst tut der nichts? Dann bridge doch dort das SFP auf den Port, an dem OPNsense hängt. So bekommt OPNsense die öffentliche IPv4-Adresse direkt.

Grüße
Maurice

Der Mikrotik ist tatsächlich nur wegen des SFP vorhanden. Problem ist, ich bin nicht vor Ort, aktuell niemand, da der Standort noch aufgebaut wird.

Wie müsste die Bridge aussehen? Am Mikrotik SFP und Port vom Sense brücken ist klar. Macht in dem Fall die Sense dann die Einwahl bzw holt sich sich per DHCP die öffentliche IP oder macht das weiterhin der Mikrotik und gibt die nur 1:1 weiter, wie im Post über dir schon als am Bespiel der Fritzbox als "Exposed Host"?

Aktuell scheint der Mikrotik die öffentliche IP einfach per DHCP zu erhalten, ohne irgendeinen Login.. ist das bei Glasfaser generell möglich oder muss ich da im System noch tiefer suchen?

[Maurice]

Bei einer Bridge auf dem Mikrotik macht OPNsense alles, der Mikrotik wird zum Switch / Medienkonverter degradiert. Du könntest genauso gut einen einfachen Switch mit SFP hinstellen. Die OPNsense-Kiste selbst hat keinen SFP-Port?

DHCP ohne Authentifizierung ist durchaus möglich, macht jeder ISP anders. Die sollten dir das sagen können bzw. das siehst Du ja in der Mikrotik-Config.

Konfigurierst Du das alles aus der Ferne über die Internetverbindung, die der Mikrotik herstellt? Dann ist so eine Umstellung natürlich spannend...