OPNsense - NAT before IPSEC: Unterschied zwischen den Versionen

Zeile 19: Zeile 19:
  
 
=== '''Weiterführende Informationen''' ===
 
=== '''Weiterführende Informationen''' ===
Mehr Informationen zu OPNsense und unserem Service finden Sie auf <a href="www.max-it.de/opnsense" target="_blank" rel="noopener">https://www.max-it.de/techcorner/OPNsense_NAT</a>
+
Mehr Informationen zu OPNsense und unserem Service finden Sie auf [https://www.max-it.de/techcorner/OPNsense_NAT www.max-it.de/opnsense]
  
 
=== '''Kontakt''' ===
 
=== '''Kontakt''' ===

Version vom 12. Februar 2018, 09:59 Uhr

OPNsense – NAT before IPSEC

Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN

IPSEC-VPNs

IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und die Gegenseite auch mit den Parametern zurechtkommt.
Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.

Ursache und Lösung

Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.
Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag:

- Interface: IPSEC
- Type: BINAT
- External Network: LAN IP der Firewall
- Source: das neue LAN
- Destination: Peer LAN
- NAT reflection: Disable

Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel.

Tags

OPNsense, NAT before IPSEC, NAT im VPN Tunnel

Weiterführende Informationen

Mehr Informationen zu OPNsense und unserem Service finden Sie auf www.max-it.de/opnsense

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns unter mailto:techcorner@max-it.de.