OPNsense - NAT before IPSEC: Unterschied zwischen den Versionen
Sewa (Diskussion | Beiträge) |
Mest (Diskussion | Beiträge) |
||
Zeile 19: | Zeile 19: | ||
=== '''Weiterführende Informationen''' === | === '''Weiterführende Informationen''' === | ||
+ | Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten, steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern. [https://www.it-administrator.de/themen/server_client/fachartikel/248336.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br /> | ||
Mehr Informationen zu OPNsense und unserem Service finden Sie auf [https://www.max-it.de/techcorner/OPNsense_NAT www.max-it.de/opnsense] | Mehr Informationen zu OPNsense und unserem Service finden Sie auf [https://www.max-it.de/techcorner/OPNsense_NAT www.max-it.de/opnsense] | ||
Version vom 7. November 2018, 09:04 Uhr
Inhaltsverzeichnis
OPNsense – NAT before IPSEC
Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN
IPSEC-VPNs
IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und die Gegenseite auch mit den Parametern zurechtkommt.
Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.
Ursache und Lösung
Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.
Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag:
- Interface: IPSEC
- Type: BINAT
- External Network: LAN IP der Firewall
- Source: das neue LAN
- Destination: Peer LAN
- NAT reflection: Disable
Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel.
Tags
OPNsense, NAT before IPSEC, NAT im VPN Tunnel
Weiterführende Informationen
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten, steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern. Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>
Mehr Informationen zu OPNsense und unserem Service finden Sie auf www.max-it.de/opnsense
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns unter mailto:techcorner@max-it.de.