Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Frage zu NAT und IPsec
« previous
next »
Print
Pages: [
1
]
Author
Topic: Frage zu NAT und IPsec (Read 502 times)
opnsensef8
Newbie
Posts: 17
Karma: 0
Frage zu NAT und IPsec
«
on:
January 26, 2024, 03:22:03 pm »
Hallo,
ganz einfaches Setup, aber mir fehlt aktuell die Orientierung, wenn ich versuche die Doku und meine Anforderung zu vereinen.
Verbindung Standort A zu Standort B
Standort A lediglich ein Host 192.168.1.99/32 auf Standort B Netz 10.30.22.112/28
Das hat so funktioniert. Nun kommt aber am Standort B das Subnetz 192.168.1.0/24 komplett "unter den Hammer", sprich kann nicht mehr für den Tunnel genutzt werden.
Nun soll das passieren:
Alle Pakete von 192.168.1.99/32 an 10.30.22.112 sollen die Source 192.168.7.99 erhalten.
Alle Pakete aus dem 10.30.22.112 an die 192.168.7.99 sollen nach dem Tunnel an die 192.168.1.99 gehen.
Leider habe ich das nicht in die GUI der Opnsense übersetzen können.
«
Last Edit: January 26, 2024, 03:36:24 pm by opnsensef8
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Frage zu NAT und IPsec
«
Reply #1 on:
January 29, 2024, 06:26:43 pm »
Hi,
das ist in der Tat immer ein wenig tricky. Lässt sich aber bauen wie folgt (ich nutze nur legacy, da die neue Variante sich in Tests sehr strange verhalten hat)
Auf der A Seite in IPsec Phase 2:
- Mode Tunnel IPv4
- Local: 192.168.7.99/32
- Remote: 10.30.22.0/24
- Manual SPD entries: 192.168.1.99/32
Auf der B Seite in Phase 2
- Tunnel IPv4
- Local: 10.30.22.0/24
- Remote: 192.168.7.99/32
Das sollte sich erstmal sauber aufbauen.
Anschließend dann in Firewall / NAT / One-to-One:
- Neuen Eintrag
- Interface IPsec
- BINAT
- External Network: 192.168.7.99/32
- Source: 192.168.1.99/32
- Destination: 10.30.22.0/24
Das müsste es dann theoretisch sein. Natürlich noch Regeln auf die IPsec Interfaces, dass Traffic rein darf auf beiden Seiten. Aber wenn das gegeben ist, sollte das funktionieren. Ich hoffe ich habe beim BINAT Eintrag nichts durcheinander verbogen.
Wichtig ist der manual SPD entry in der P2 auf Seite A, denn der regelt an der Stelle, dass du mit einer anderen IP (der internen) Anfragen kannst und Traffic an 10.30.22.x dann von der IP aus erkannt und aufgesammelt wird, ansonsten würde das nur gehen, wenn der Traffic von der IP schon vorher geNATtet wäre. Da aber IPsec im Kernel sitzt schaut der zuerst drauf, noch bevor NAT greift, daher müssen die zusätzlichen SPD entries rein, damit das direkt an IPsec geht, dann bearbeitet wird und beim Durchlaufen vom IPsec Interface wird dann die Adresse von 1 auf 7 umgeschrieben durch den BINAT Eintrag. Auf der B Seite kommt das alles schon mit der 7.99 an, die bekommt von der ganzen Sache, dass das mal .1.x war gar nichts mehr mit, daher muss dort gar nichts besonderes konfiguriert werden, sondern nur auf der A Seite.
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Frage zu NAT und IPsec