Routing aus zweitem Netz

Started by cklahn, June 07, 2025, 07:46:35 AM

Previous topic - Next topic
June 07, 2025, 07:46:35 AM Last Edit: June 07, 2025, 07:48:33 AM by cklahn
Guten Morgen in die Runde,

folgendes Problem:
Eine Anwaltskanzlei hatte eine SOPHOS UTM, welche ich durch eine OPNsense ersetzt habe. Grundsätzlich funktioniert alles inkl. Mailgateway für den eigenen Exchange usw. Vor der OPNsense sitzt eine Fritz!Box (192.168.178.1), die die Einwahl macht und in welche ein Exposed-Host auf das WAN-Interface der OPNsense gesetzt ist.

Es gibt neben den Interfaces WAN (192.168.178.2) und LAN (192.168.10.254) noch eins, welches Testamentsregister (192.168.9.254) heisst. An diesem hängt eine sog. Notariatsbox. Das ist ein Cisco-Router, welcher einen VPN-Tunnel zur Bundesnotarkammer stellt.
Wenn die Arbeitsplätze die Notarsoftware XNP öffnen, dann wird geprüft, ob vier Netze 77.76.214.0/23, 185.47.125.0/24, 185.47.126.0/24 und 185.47.126.0/24 erreichbar sind.

Bei der UTM war dazu eine Netzwerkgruppe "NG Testamentsregister" angelegt, in welcher diese vier Netze enthalten waren. Dazu gab es eine Statische Route von dieser Netzwerkgruppe auf die IP der Cisco-Box. Diese hat die IP-Adresse 192.168.9.147.

Ferner gab es auf der Sophos eine NAT-Regel, für das Netz Testamentsregister raus ins Internet, sowie zwei Firewall-Regeln, dass sowohl aus dem LAN ins Testamentsregister-Netz und umgekehrt geroutet werden darf.

Jetzt zur OPNsense:
Das Interface ist entsprechend eingerichtet. Die Cisco-Box hängt an eth2 und ist aus dem LAN anpingbar. Es gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?

Firewall-Regeln habe ich auch noch die globalen "ich darf alles in jede Richtung", die die OPNsense standardmäßig hat. Ich habe die Regeln ebenso für das Testamentsregister-Netz angelegt.

Ich habe ein zweites Gateway angelegt, welches die IP der Cisco-Box hat und als Mark Down gesetzt. Dann habe ich vier statische Routen angelegt. Jeweils ein Netz der Bundesnotarkammer auf das Gateway "Cisco-Box".

Wenn nun auf den Clients die Notarsoftware gestartet wird, dann sagt diese, dass kein Internet vorhanden sei. Mache ich ein Traceroute von einem Arbeitsplatz auf ein Netz der Bundesnotarkammer, dann sehe ich in der ersten Zeile das WAN-Interface der OPNsense. In der zweiten Zeile die IP-Adresse der Cisco-Box und dann nur noch Zeitüberschreitung. Es scheint so, als kommt die Cisco-Box nicht über das WAN-Interface raus.

Wo liegt hier der Hase im Pfeffer begraben? Ich bilde mir ein, alles korrekt übernommen zu haben.

Vielen Dank für Eure Unterstützung im Voraus.

Gruß
Christoph

... oder kann ich beim Traceroute den Weg ins Internet nicht sehen, da die Cisco-Box den Traffic über seinen Tunnel sendet? Die LED, die eine stehende Tunnelverbindung anzeigt, leuchtet. D.h. der Tunnel ist sauber aufgebaut.

Quote from: cklahn on June 07, 2025, 07:46:35 AMEs gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?
Hallo,

du meinst Outbound NAT, denke ich.
Nein, die gilt nur für das Interface, auf dem sie definiert ist, also WAN.

Die Regel ist aber auch untypisch. Automatisch werden normalerweise nur Regeln für die lokalen Subnetze als Quelle generiert.

Du benötigst auf jeden Fall auch eine Regel auf dem Testamentsregister Interface für die Quelle LAN net und mit Interface Address als Translation Address.

Das Outbound NAT muss auch in den Hybriden Modus geschaltet werden, damit die Regel greift.

Sonst sollte alles in Ordnung sein.

Grüße

Hi,

klasse, das wars. Vielen Dank.
Habe eine Netzwerkgruppe mit den vier Netzen der Bundesnotarkammer angelegt und die Outbound-NAT-Regel im Hybrid-Modus gesetzt. Alles Paletti.
Danke nochmal.

Gruß
Christoph

Hallo Ihr Experten,
ich hänge mich an diesem Thread, weil ich ein ähnliches (?) problem habe:

Auch ich verwende (neben/hinter der OPNsense) eine Cisco FW um auf einem Kundennetz zuzugreifen. Es funktioniert auch alles prima. Vom Büro aus!
Aus dem Homeoffice kann ich über VPN auf dem Netz im Büro und von da aus auf dem Kundennetz. Soweit so gut!
Ich möchte aber nun vom Homeoffice direkt auf das Kundennetz zugreifen und weiß einfach nicht wie ich das Routing setzen soll.
Kann jemand vielleicht helfen? das wäre super!
Vielen Dank und herzliche Grüße aus Düsseldorf

Hallo,

ja, eben auch eine Outbound NAT Regel (Masquerading) könnte dir den Zugriff ermöglichen.
Die Regel ist auf dem Interface zu erstellen, auf dem der Cisco hängt und auf Ziele hinter diesem einzuschränken.

Detailliertere Anweisungen würden aber auch eine detailliertere Beschreibung oder einen grafischen Plan deines Netzwerks erfordern.

Quote from: Jo A. Kim on June 10, 2025, 10:45:26 AMweiß einfach nicht wie ich das Routing setzen soll.
Routing wäre eine andere, oftmals die bessere, Herangensweise, das Zugriffsproblem zu lösen. Das erfordert aber Maßnahmen auf der Remoteseite, auf die du wahrscheinlich keinen administrativen Einfluss hast. Damit ist das keine Option.

Grüße

Hier ist die schematische Darstellung:
ich kann von den internen Netzen auf das Kundennetz zugreifen.
Möchte aber vom Homeoffice direkt darauf zugreifen können. Bei bestehende VPN Verbindung, versteht sich.

- Die OPNsense braucht einen Gateway: Cisco FW, 172.16.2.254
- Die OPNsense braucht eine statische Route: 10.69.67.0/24 --> der obige Gateway
- Dein VPN braucht clientseitig die Info, dass auch 10.69.67.0/24 über das VPN erreichbar ist - "AllowedIPs" bei WireGuard, "local networks" auf der Server-Seite wenn OpenVPN und die Routen gepusht werden, Phase 2 SA, wenn IPsec.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)


Danke Patrick, auch das ist leider nicht die Lösung.
Der Gateway war bereits vorhanden. Die Route habe ich eingetragen, aber m.E. nicht nötig schließlich kann ich aus dem internen Netz (172.16.2.0 und 195.168.2.0) auf 10.69.67.0 zugreifen.
Habe bei OpenVPN den "local networks" Parameter ergänzt und Client-seitig push "route 10.69.67.0 255.255.255.0" eingefügt. Alles ohne Erfolg.
Da OpenVPN ab Version 26.1 sowieso nicht mehr unterstützt wird, werde ich erstmal auf WireGuard umstellen und dann wieder versuchen.

Die NAT Regel ist dennoch nötig. Hast du die hesetzt.

Gateway und statische Route sind überflüssig, wenn der Cisco ohnehin das Standardgateway ist.
Aber solche Details hast du ja uns nicht verraten.

Man könnte die Registerbox auch einfach in das Netz zwischen LAN der Fritte und WAN der OPNsense legen, wenn die OPNsense sowieso NAT macht. Also, LAN der Fritte als 192.168.9.1/24 konfigurieren, DHCP dessen abschalten, die Registerbox und das WAN der OPNsense ans LAN der Fritte anschliessen. Danach auf der OPNsense das WAN als 192.168.9.2/24 (oder so) konfigurieren, die Adresse der Registerbox als Gateway definieren und die Routen eintragen. Dann spart man sich das ganze Outbound NAT.

Mit mehr als einem Gateway auf der WAN-Seite der OPNsense empfehle ich auch Firewall: Settings: Advanced: Disable force gateway zu aktivieren.

------------
| Fritzbox |
------------
        |
        | 192.168.9.0/24
        |              ---------------
        |---------------| Registerbox |
        |              ---------------
        |
------------
| OPNsense |
------------

Quote from: mooh on June 11, 2025, 03:59:56 PMMan könnte die Registerbox auch einfach in das Netz zwischen LAN der Fritte und WAN der OPNsense legen, wenn die OPNsense sowieso NAT macht. Also, LAN der Fritte als 192.168.9.1/24 konfigurieren, DHCP dessen abschalten, die Registerbox und das WAN der OPNsense ans LAN der Fritte anschliessen. Danach auf der OPNsense das WAN als 192.168.9.2/24 (oder so) konfigurieren, die Adresse der Registerbox als Gateway definieren und die Routen eintragen. Dann spart man sich das ganze Outbound NAT.

Mit mehr als einem Gateway auf der WAN-Seite der OPNsense empfehle ich auch Firewall: Settings: Advanced: Disable force gateway zu aktivieren.

------------
| Fritzbox |
------------
        |
        | 192.168.9.0/24
        |              ---------------
        |---------------| Registerbox |
        |              ---------------
        |
------------
| OPNsense |
------------

Mehr als ein Gateway auf WAN Seite würde ich absolut tunlichst vermeiden. Ja man kann das machen. Es gibt aber jede Menge Fallstricke dafür und force Gateway ist nicht der einzige. Da spielt dann bspw. noch der reply-to von den WAN Regeln mit rein, etc. etc. und genau WENN man sowas wie ein auf-erzwungenes Gateway hat, das man integrieren muss, ist ein sauberes Transfernetz damit Gold wert und reduziert Fehlerquellen wie asymmetrisches Routing und Co auf ein Minimum. Alles andere - die Box ins LAN, WAN etc. zu packen - fördert nur Probleme.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.