OPNsense - NAT before IPSEC: Unterschied zwischen den Versionen
Mest (Diskussion | Beiträge) |
Deko (Diskussion | Beiträge) (→Weiterführende Informationen) |
||
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN | Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN | ||
=== '''IPSEC-VPNs''' === | === '''IPSEC-VPNs''' === | ||
− | IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und die Gegenseite auch mit den Parametern zurechtkommt.<br /> | + | IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und<br /> |
− | Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.<br /> | + | die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und<br /> |
+ | die Gegenseite auch mit den Parametern zurechtkommt.<br /> | ||
+ | Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung<br /> | ||
+ | seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.<br /> | ||
=== '''Ursache und Lösung''' === | === '''Ursache und Lösung''' === | ||
− | Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.<br | + | Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.<br> |
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.<br /> | Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.<br /> | ||
− | Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag: <br /> | + | Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag: <br /> |
− | + | ||
− | + | * Interface: IPSEC<br /> | |
− | + | * Type: BINAT<br /> | |
− | + | * External Network: LAN IP der Firewall<br /> | |
− | + | * Source: das neue LAN<br /> | |
− | + | * Destination: Peer LAN<br /> | |
− | Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel. | + | * NAT reflection: Disable<br /> |
+ | |||
+ | Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel. | ||
+ | |||
=== '''Tags''' === | === '''Tags''' === | ||
OPNsense, NAT before IPSEC, NAT im VPN Tunnel | OPNsense, NAT before IPSEC, NAT im VPN Tunnel | ||
=== '''Weiterführende Informationen''' === | === '''Weiterführende Informationen''' === | ||
− | Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten, steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern. [https://www.it-administrator.de/themen/server_client/fachartikel/248336.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br /> | + | Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,<br /> |
− | Mehr Informationen zu OPNsense und unserem Service finden Sie auf [https://www.max-it.de/techcorner/OPNsense_NAT www.max-it.de/opnsense] | + | steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.<br /> |
+ | [https://www.it-administrator.de/themen/server_client/fachartikel/248336.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br /><br /> | ||
+ | |||
+ | Mehr Informationen zu OPNsense und unserem Service finden Sie auf<br /> | ||
+ | [https://www.max-it.de/techcorner/OPNsense_NAT www.max-it.de/opnsense] | ||
=== '''Kontakt''' === | === '''Kontakt''' === | ||
− | Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns unter mailto:techcorner@max-it.de.<br /> | + | Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,<br /> |
+ | melden Sie sich bitte bei uns unter [http://mailto:techcorner@max-it.de techcorner@max-it.de].<br /> | ||
[[Kategorie: IT-Security]] | [[Kategorie: IT-Security]] |
Aktuelle Version vom 13. Mai 2020, 09:14 Uhr
Inhaltsverzeichnis
OPNsense – NAT before IPSEC
Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN
IPSEC-VPNs
IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und
die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und
die Gegenseite auch mit den Parametern zurechtkommt.
Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung
seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.
Ursache und Lösung
Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.
Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag:
- Interface: IPSEC
- Type: BINAT
- External Network: LAN IP der Firewall
- Source: das neue LAN
- Destination: Peer LAN
- NAT reflection: Disable
Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel.
Tags
OPNsense, NAT before IPSEC, NAT im VPN Tunnel
Weiterführende Informationen
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.
Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>
Mehr Informationen zu OPNsense und unserem Service finden Sie auf
www.max-it.de/opnsense
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter techcorner@max-it.de.