IPSec und NAT

Started by Lucas P, November 26, 2025, 08:54:51 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 26, 2025, 08:54:51 AM
Hallo zusammen,
ich brauche bei folgendem Szenario mal etwas hilfe, ob/wie das überhaupt umsetzbar ist.
Es geht dabei um eine IPSec S2S Verbindung, die leider so vorgegeben ist, Wireguard etc. ist also keine Option.

Netze:
Mein LAN: 192.168.184.0/24
Zugelassenes Netz/Tunnel Netz: 192.168.100.96/28
Remote Netz: 192.168.200.0/24

Nun kann die Remote Seite nichts mit Paketen aus dem LAN Netz anfangen, wird das in der IPSec angegeben, kommt die Verbindung garnicht hoch.
Daher sollen alle Pakete von einer IP aus dem Tunnel Netz kommen, z.B. 192.168.100.97/32. Die VPN kommt hoch, allerdings bekomme ich kein NAT ans laufen.

Folgendes ist bereits Umgesetzt:
IPSec (Phase1+Phase2) sind aktiv.
Zusätzlich sind als manuelle Sicherheitsregel unter "Datenbank Sicherheitsregelwerk" das LAN -> Remote Netz hinterlegt.
Der Datenverkehr läuft über die IPSec Schnittstelle, ein Paketmitschnitt zeigt das.

Was nicht klappt:

Die Pakete auf dem IPSec Interface haben als Quelle noch die originale aus dem 184.0/24 Netz, nicht dem TunnelNetz.
Dazu wurde bereits entweder unter Outbound NAT:
Interface: IPSec
Quelle: 192.168.184.0/24
Ziel: 192.168.200.0/24
MapIP: 192.168.100.97/32

ODER
Unter 1:1 NAT:
Interface: IPSec
Typ: NAT
Externes Netz: 192.168.100.97/32
Quelle: 192.168.184.0/24
Ziel: 192.168.200.0/24

ODER
In den Erweiterten Sicherheitsregeln nur ein einzelnes Geräte, z.B. 192.168.184.10/32 hinterlegt.
Unter 1:1 NAT:
Interface: IPSec
Typ: BiNAT
Externes Netz: 192.168.100.97/32
Quelle: 192.168.184.10/32
Ziel: 192.168.200.0/24


Alles leider ohne Erfolg. Die Pakete gehen weiterhin mit einer 184.0 IP raus und werden dann von der Gegenseite natürlich verworfen.
Hat hier jemand eine Idee?

Vielen Dank!
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
November 26, 2025, 07:52:32 PM #1
Hallo,

Quote from: Lucas P on November 26, 2025, 08:54:51 AMNetze:
Mein LAN: 192.168.184.0/24
Zugelassenes Netz/Tunnel Netz: 192.168.100.96/28
Remote Netz: 192.168.200.0/24
geht es um eine VTI IPSec? Ein Tunnelnetz kenne ich nur da.
Andererseits passt dann das wieder nicht ins Bild:
Quote from: Lucas P on November 26, 2025, 08:54:51 AMNun kann die Remote Seite nichts mit Paketen aus dem LAN Netz anfangen, wird das in der IPSec angegeben, kommt die Verbindung garnicht hoch.

Leider kenne ich die Begriffe der deutschen Übersetzung auch nicht.

Soll gegenseitiger Zugriff möglich sein?
Wenn nur einseitig, in welche Richtung?
November 27, 2025, 10:06:22 PM #2
Die Antwort hängt davon ab:

* was die Remote Seite für eine IPsec Konfiguration hat: VTI oder normale Phase 2 Logik?
* was die Remote Seite für Remote Netz konfiguriert hat. Das bestimmt, was du selbst eintragen kannst.

Wenn es wie ich vermute ein normales P2 ist und Remote das /28 konfiguriert hat als erlaubt, wäre es kein großes Problem ein NAT mit .184.0/24 via .100.97/32 zu bauen, das klappt dann aber natürlich nur ausgehend auf die andere Seite rüber, weil dann ja alles wie auf dem WAN über ne einzelne IP geNATtet wird. Wenn bestimmte Geräte aber von Remote erreichbar sein müssen, wirds kniffliger.

Dann wird aber auf jeden Fall zusätzliche Security Policies für IPsec gebraucht, sonst würde der IPsec nur traffic von der /32 aufsammeln, du willst ja aber, dass der 184er/24 eingesammelt und via VPN verschickt wird. Daher muss das Ursprungsnetz als zusätzliche Policy rein und in die eigentliche Phase das "vorgegaukelte" /32 als lokal. Und dann natürlich noch nen NAT was ausgehend den Kram via IPsec auf die /32 umsetzt.

Aber das ist wie gesagt abhängig, was wirklich eingestellt ist.

Cheers :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions