Routing aus zweitem Netz

[cklahn]

Guten Morgen in die Runde,

folgendes Problem:
Eine Anwaltskanzlei hatte eine SOPHOS UTM, welche ich durch eine OPNsense ersetzt habe. Grundsätzlich funktioniert alles inkl. Mailgateway für den eigenen Exchange usw. Vor der OPNsense sitzt eine Fritz!Box (192.168.178.1), die die Einwahl macht und in welche ein Exposed-Host auf das WAN-Interface der OPNsense gesetzt ist.

Es gibt neben den Interfaces WAN (192.168.178.2) und LAN (192.168.10.254) noch eins, welches Testamentsregister (192.168.9.254) heisst. An diesem hängt eine sog. Notariatsbox. Das ist ein Cisco-Router, welcher einen VPN-Tunnel zur Bundesnotarkammer stellt.
Wenn die Arbeitsplätze die Notarsoftware XNP öffnen, dann wird geprüft, ob vier Netze 77.76.214.0/23, 185.47.125.0/24, 185.47.126.0/24 und 185.47.126.0/24 erreichbar sind.

Bei der UTM war dazu eine Netzwerkgruppe "NG Testamentsregister" angelegt, in welcher diese vier Netze enthalten waren. Dazu gab es eine Statische Route von dieser Netzwerkgruppe auf die IP der Cisco-Box. Diese hat die IP-Adresse 192.168.9.147.

Ferner gab es auf der Sophos eine NAT-Regel, für das Netz Testamentsregister raus ins Internet, sowie zwei Firewall-Regeln, dass sowohl aus dem LAN ins Testamentsregister-Netz und umgekehrt geroutet werden darf.

Jetzt zur OPNsense:
Das Interface ist entsprechend eingerichtet. Die Cisco-Box hängt an eth2 und ist aus dem LAN anpingbar. Es gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?

Firewall-Regeln habe ich auch noch die globalen "ich darf alles in jede Richtung", die die OPNsense standardmäßig hat. Ich habe die Regeln ebenso für das Testamentsregister-Netz angelegt.

Ich habe ein zweites Gateway angelegt, welches die IP der Cisco-Box hat und als Mark Down gesetzt. Dann habe ich vier statische Routen angelegt. Jeweils ein Netz der Bundesnotarkammer auf das Gateway "Cisco-Box".

Wenn nun auf den Clients die Notarsoftware gestartet wird, dann sagt diese, dass kein Internet vorhanden sei. Mache ich ein Traceroute von einem Arbeitsplatz auf ein Netz der Bundesnotarkammer, dann sehe ich in der ersten Zeile das WAN-Interface der OPNsense. In der zweiten Zeile die IP-Adresse der Cisco-Box und dann nur noch Zeitüberschreitung. Es scheint so, als kommt die Cisco-Box nicht über das WAN-Interface raus.

Wo liegt hier der Hase im Pfeffer begraben? Ich bilde mir ein, alles korrekt übernommen zu haben.

Vielen Dank für Eure Unterstützung im Voraus.

Gruß
Christoph

[cklahn]

... oder kann ich beim Traceroute den Weg ins Internet nicht sehen, da die Cisco-Box den Traffic über seinen Tunnel sendet? Die LED, die eine stehende Tunnelverbindung anzeigt, leuchtet. D.h. der Tunnel ist sauber aufgebaut.

[viragomann]

Es gibt auf der OPNsense eine globale NAT-Regel: WAN/any/*/*/*/Interface Adress/*. Diese gilt doch sowohl für das LAN als auch für das Testamentsregister-Netz, oder?

Hallo,

du meinst Outbound NAT, denke ich.
Nein, die gilt nur für das Interface, auf dem sie definiert ist, also WAN.

Die Regel ist aber auch untypisch. Automatisch werden normalerweise nur Regeln für die lokalen Subnetze als Quelle generiert.

Du benötigst auf jeden Fall auch eine Regel auf dem Testamentsregister Interface für die Quelle LAN net und mit Interface Address als Translation Address.

Das Outbound NAT muss auch in den Hybriden Modus geschaltet werden, damit die Regel greift.

Sonst sollte alles in Ordnung sein.

Grüße

[cklahn]

Hi,

klasse, das wars. Vielen Dank.
Habe eine Netzwerkgruppe mit den vier Netzen der Bundesnotarkammer angelegt und die Outbound-NAT-Regel im Hybrid-Modus gesetzt. Alles Paletti.
Danke nochmal.

Gruß
Christoph

[Jo A. Kim]

Hallo Ihr Experten,
ich hänge mich an diesem Thread, weil ich ein ähnliches (?) problem habe:

Auch ich verwende (neben/hinter der OPNsense) eine Cisco FW um auf einem Kundennetz zuzugreifen. Es funktioniert auch alles prima. Vom Büro aus!
Aus dem Homeoffice kann ich über VPN auf dem Netz im Büro und von da aus auf dem Kundennetz. Soweit so gut!
Ich möchte aber nun vom Homeoffice direkt auf das Kundennetz zugreifen und weiß einfach nicht wie ich das Routing setzen soll.
Kann jemand vielleicht helfen? das wäre super!
Vielen Dank und herzliche Grüße aus Düsseldorf

[viragomann]

Hallo,

ja, eben auch eine Outbound NAT Regel (Masquerading) könnte dir den Zugriff ermöglichen.
Die Regel ist auf dem Interface zu erstellen, auf dem der Cisco hängt und auf Ziele hinter diesem einzuschränken.

Detailliertere Anweisungen würden aber auch eine detailliertere Beschreibung oder einen grafischen Plan deines Netzwerks erfordern.

weiß einfach nicht wie ich das Routing setzen soll.

Routing wäre eine andere, oftmals die bessere, Herangensweise, das Zugriffsproblem zu lösen. Das erfordert aber Maßnahmen auf der Remoteseite, auf die du wahrscheinlich keinen administrativen Einfluss hast. Damit ist das keine Option.

Grüße

[Jo A. Kim]

Hier ist die schematische Darstellung:
ich kann von den internen Netzen auf das Kundennetz zugreifen.
Möchte aber vom Homeoffice direkt darauf zugreifen können. Bei bestehende VPN Verbindung, versteht sich.

[Patrick M. Hausen]

- Die OPNsense braucht einen Gateway: Cisco FW, 172.16.2.254
- Die OPNsense braucht eine statische Route: 10.69.67.0/24 --> der obige Gateway
- Dein VPN braucht clientseitig die Info, dass auch 10.69.67.0/24 über das VPN erreichbar ist - "AllowedIPs" bei WireGuard, "local networks" auf der Server-Seite wenn OpenVPN und die Routen gepusht werden, Phase 2 SA, wenn IPsec.

[Jo A. Kim]

Danke Patrick, auch das ist leider nicht die Lösung.
Der Gateway war bereits vorhanden. Die Route habe ich eingetragen, aber m.E. nicht nötig schließlich kann ich aus dem internen Netz (172.16.2.0 und 195.168.2.0) auf 10.69.67.0 zugreifen.
Habe bei OpenVPN den "local networks" Parameter ergänzt und Client-seitig push "route 10.69.67.0 255.255.255.0" eingefügt. Alles ohne Erfolg.
Da OpenVPN ab Version 26.1 sowieso nicht mehr unterstützt wird, werde ich erstmal auf WireGuard umstellen und dann wieder versuchen.