OPNsense - NAT before IPSEC: Unterschied zwischen den Versionen

(Weiterführende Informationen)
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
 
Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN
 
Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN
 
=== '''IPSEC-VPNs''' ===
 
=== '''IPSEC-VPNs''' ===
IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und die Gegenseite auch mit den Parametern zurechtkommt.<br />
+
IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und<br />
Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.<br />
+
die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und<br />
 +
die Gegenseite auch mit den Parametern zurechtkommt.<br />
 +
Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung<br />
 +
seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.<br />
 
=== '''Ursache und Lösung''' ===
 
=== '''Ursache und Lösung''' ===
Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.<br />
+
Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.<br>
 
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.<br />
 
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.<br />
Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag: <br /><br />
+
Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag: <br />
- Interface: IPSEC<br />
+
 
- Type: BINAT<br />
+
* Interface: IPSEC<br />
- External Network: LAN IP der Firewall<br />
+
* Type: BINAT<br />
- Source: das neue LAN<br />
+
* External Network: LAN IP der Firewall<br />
- Destination: Peer LAN<br />
+
* Source: das neue LAN<br />
- NAT reflection: Disable<br /><br />
+
* Destination: Peer LAN<br />
Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel. <br />
+
* NAT reflection: Disable<br />
 +
 
 +
Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel.
 +
 
 
=== '''Tags''' ===
 
=== '''Tags''' ===
 
OPNsense, NAT before IPSEC, NAT im VPN Tunnel
 
OPNsense, NAT before IPSEC, NAT im VPN Tunnel
  
 
=== '''Weiterführende Informationen''' ===
 
=== '''Weiterführende Informationen''' ===
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten, steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern. [https://www.it-administrator.de/themen/server_client/fachartikel/248336.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br />
+
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,<br />
Mehr Informationen zu OPNsense und unserem Service finden Sie auf [https://www.max-it.de/techcorner/OPNsense_NAT www.max-it.de/opnsense]
+
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.<br />
 +
[https://www.it-administrator.de/themen/server_client/fachartikel/248336.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br /><br />
 +
 
 +
Mehr Informationen zu OPNsense und unserem Service finden Sie auf<br />
 +
[https://www.max-it.de/techcorner/OPNsense_NAT www.max-it.de/opnsense]
  
 
=== '''Kontakt''' ===
 
=== '''Kontakt''' ===
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns unter mailto:techcorner@max-it.de.<br />
+
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,<br />
 +
melden Sie sich bitte bei uns unter [http://mailto:techcorner@max-it.de techcorner@max-it.de].<br />
  
 
[[Kategorie: IT-Security]]
 
[[Kategorie: IT-Security]]

Aktuelle Version vom 13. Mai 2020, 09:14 Uhr

OPNsense – NAT before IPSEC

Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN

IPSEC-VPNs

IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und
die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und
die Gegenseite auch mit den Parametern zurechtkommt.
Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung
seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.

Ursache und Lösung

Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.
Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag:

  • Interface: IPSEC
  • Type: BINAT
  • External Network: LAN IP der Firewall
  • Source: das neue LAN
  • Destination: Peer LAN
  • NAT reflection: Disable

Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel.

Tags

OPNsense, NAT before IPSEC, NAT im VPN Tunnel

Weiterführende Informationen

Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.
Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>

Mehr Informationen zu OPNsense und unserem Service finden Sie auf
www.max-it.de/opnsense

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter techcorner@max-it.de.