OPNsense - NAT before IPSEC: Unterschied zwischen den Versionen

(Ursache und Lösung)
(Weiterführende Informationen)
 
Zeile 26: Zeile 26:
 
=== '''Weiterführende Informationen''' ===
 
=== '''Weiterführende Informationen''' ===
 
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,<br />
 
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,<br />
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit,<br />
+
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.<br />
den Funktionsumfang flexibel mit Plugins zu erweitern.<br />
 
 
[https://www.it-administrator.de/themen/server_client/fachartikel/248336.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br /><br />
 
[https://www.it-administrator.de/themen/server_client/fachartikel/248336.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br /><br />
  

Aktuelle Version vom 13. Mai 2020, 09:14 Uhr

OPNsense – NAT before IPSEC

Verschleierung von weiteren IP-Netzen hinter einem IPSEC-VPN

IPSEC-VPNs

IPSEC-Vernetzungen sind für viele Administratoren schwierig einzurichten, da die Materie komplex und
die Implementierungen der Hersteller unterschiedlich ist. Meist ist man froh, wenn der Tunnel steht und
die Gegenseite auch mit den Parametern zurechtkommt.
Wird nach einiger Zeit ein weiteres Subnetz im VPN-Tunnel benötigt, kann die OPNsense-Lösung
seit Version 17.7 mit unserer Unterstützung auch weitere Netze verschleiern.

Ursache und Lösung

Als Beispiel nehmen wir einen Tunnel von (A) 10.10.0.0/24 zu (B) 192.168.1.0/24. Wir verwalten nur Seite A und Seite B weigert sich den Tunnel zu erweitern. Allerdings muss unser neues Netz 10.12.0.0/24 ebenfalls die Gegenstelle erreichen.
Hier geht man in der OPNsense zu den VPN – IPSEC – Tunnel Settings und öffnet die Phase 2 des bestehenden Tunnels. Ganz unten bei „Manual SPD entries“ trägt man das zusätzliche Netzwerk ein und bestätigt mit „Save“.
Danach noch unter Firewall – NAT – One-to-One ein neuer Eintrag:

  • Interface: IPSEC
  • Type: BINAT
  • External Network: LAN IP der Firewall
  • Source: das neue LAN
  • Destination: Peer LAN
  • NAT reflection: Disable

Jetzt werden Pakete von 10.12.0.0/24 hinter der LAN IP der Firewall (10.10.0.X) maskiert und passen in den Tunnel.

Tags

OPNsense, NAT before IPSEC, NAT im VPN Tunnel

Weiterführende Informationen

Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.
Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>

Mehr Informationen zu OPNsense und unserem Service finden Sie auf
www.max-it.de/opnsense

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter techcorner@max-it.de.