[Gelöst] VLAN Traffic über bestehenden IPSec-Tunnel-VLAN routen
-
Guten Morgen,
aktuell komme ich bei einer Testkonfiguration nicht weiter und wollte euch deshalb mal um Rat fragen. Aktuell verwende ich die pfsense Version 2.4.1.Ich habe 3 "normale" VLANs (192.168.2.0/24,192.168.3.0/24,192.168.4.0/24) sowie ein weiteres IPsec-VLAN (10.200.1.0/24) welches das Remote Netzwerk 10.201.1.0/24 anpingen kann.
Das "IPSec-VLAN" ist bereits mit einer anderen Firewall verbunden und kann problemlos die dahinterliegenden Hosts erreichen.
Ziel ist es, das alle 3 "normalen" VLANs mit dem Netzwerk 10.201.1.0/24 kommunizieren können, welcher via dem IPsec Tunnel des VLANs 10.200.1.0/24 aufrechterhalten wird.
Ich habe mir bereits etliche Seiten und Videos bezüglich NAT und Routing durchgelesen / angesehen und habe das Problem leider noch immer nicht gelöst.
Könnt ihr mir diebsezüglich weiterhelfen? Eine direkte Anbindung via IPSec ist mit den 3 VLANs nicht möglich, da es bereits identische Subnetze auf der Gegenstelle gibt und diese nicht veränderbar sind.
-
Sorry aber könntest du das ggf. mit einem Diagramm darstellen oder aufzeichnen, wo welche Remote Netze sind? Die Bezeichnungen sind da irgendwie ein wenig verwirrend.
Gruß
-
Kein Problem. Ich habe mal schnell was via draw.io zusammengebaut. Hoffe das hilft ein wenig, um mein geschildertes Problem zu verstehen / eventuell sogar zu lösen.
Besonderheit ist, das keine direkten IPsec Phase 2 Tunnel zu den einzelnen VLANs aufgebaut werden können, da diese sich doppeln.
Ich brauche eine Lösung um bsp. von VLAN2 (Seite A) eine Verbindung über das IPsec VLAN (10.200.1.0 - Seite A) mit dem Server auf der Seite B (10.201.1.101) aufzubauen.
-
Darf ich noch "dumm" fragen, was die IPSec VLANs auf beiden Seiten sind? Sind das nochmals angebundene externe Standorte / Offices / Roadwarrior? Oder weshalb sind das nicht einfach simple VLANs?
Zum Problem selbst: Da wie ich das verstehe ein IPSEC VPN zwischen A und B besteht, gibt es da wohl für das Zielnetz 10.201.1/24 eine entsprechende Phase 2 mit Quelle 10.200.1/24, korrekt?
Da die IP Ranges von 2,3,4 sich mit dem Ziel überlappen, bleibt eigentlich nur die Variante mit NAT auf Seite von A die Netze umzuschreiben und dann entsprechende Phase 2 Einträge hinzuzufügen.Sprich: auf Seiten von A werden 3x Phase 2 Einträge mit NAT hinzugefügt, die dann die Duplikatnetze 192.168.2-4.0/24 umsetzen in bspw. 10.168.2-4.0/24. Die Pakete aus den 192er Netzen auf A kommen dann bei Firewall A an, werden umgesetzt in 10.168er IPs und dann durch den Tunnel gedrückt. Die andere Seite B kennt die Remote Netze dann nur als 10.168 und routet das entsprechend dann auch wieder sauber zurück.
Einziger Nachteil ist eben, dass die Pakete dann bei Bs 10.201er Netz mit 10.168 ankommen statt mit 192.168, was aber hier ja gewünscht ist und kein Nachteil sein sollte.
Gruß
-
Darf ich noch "dumm" fragen, was die IPSec VLANs auf beiden Seiten sind? Sind das nochmals angebundene externe Standorte / Offices / Roadwarrior? Oder weshalb sind das nicht einfach simple VLANs?
Bei Seite B handelt es sich um einen anderen Standort, welchen ich nicht administrieren oder konfigurieren kann. Unser Unternehmen wurde mit einer dreistelligen Summe vor kurzem aufgekauft.
Zum Problem selbst: Da wie ich das verstehe ein IPSEC VPN zwischen A und B besteht, gibt es da wohl für das Zielnetz 10.201.1/24 eine entsprechende Phase 2 mit Quelle 10.200.1/24, korrekt?
Das ist korrekt. Beide Netze können untereinander kommunizieren.
Da die IP Ranges von 2,3,4 sich mit dem Ziel überlappen, bleibt eigentlich nur die Variante mit NAT auf Seite von A die Netze umzuschreiben und dann entsprechende Phase 2 Einträge hinzuzufügen.
Sprich: auf Seiten von A werden 3x Phase 2 Einträge mit NAT hinzugefügt, die dann die Duplikatnetze 192.168.2-4.0/24 umsetzen in bspw. 10.168.2-4.0/24. Die Pakete aus den 192er Netzen auf A kommen dann bei Firewall A an, werden umgesetzt in 10.168er IPs und dann durch den Tunnel gedrückt. Die andere Seite B kennt die Remote Netze dann nur als 10.168 und routet das entsprechend dann auch wieder sauber zurück.Wie genau mache ich das? Ich habe bei der pfsense tatsächlich noch starke Wissenslücken in puncto NAT. Alle anderen Bereiche habe ich mittlerweile verinnerlicht. Die Anforderungen, das wir mit IPsec arbeiten sollen kam bei mir erst in der letzten Woche an, daher habe ich bisher nur Erfahrungen mit Routing etc. via openVPN > Wofür ich bisher kein NAT benötigte.
-
für eine dreistellige Summe
Das war aber günstig ;)
vor kurzem aufgekauft
I feel you. Mehrfach erlebt.
Wie genau mache ich das?
pfSense ist nur in Standort A? B nicht?
-
für eine dreistellige Summe
Das war aber günstig ;)
vor kurzem aufgekauft
I feel you. Mehrfach erlebt.
Wie genau mache ich das?
pfSense ist nur in Standort A? B nicht?
Dreistellige Millionensumme. Aber das ändert nichts. ^^
Ja, exakt. Nur unser Standort A nutzt die pfsense. Der andere Standort benutzt ein anderes Firewallsystem. Mit dem dortigen System Administrator habe ich am vergangenen Freitag den IPsec Tunnel erfolgreich aufgebaut. Die Kommunikation innerhalb des Tunnels funktioniert auch tadellos. Nur müssen unsere anderen Etagen "VLAN 2, 3 und 4 in diesem Beispiel" ebenfalls auf diese Netze zugreifen.
-
Dreistellige Millionensumme. Aber das ändert nichts. ^^
seufz I know…
https://doc.pfsense.org/index.php/NAT_with_IPsec_Phase_2_Networks
-> damit solltest du das realisieren können.Eine Phase 2 anlegen mit einmal den echten Daten beim Netz (wie bisher) und den NAT Daten bei "translated network".
Ich würde empfehlen das als BiNAT zu machen, also Netze zu suchen, die auf der B Seite nicht genutzt werden und vllt. halbwegs sprechend sind (damit man hinterher weiß was man getan hat) und diese dann 1:1 /24 für die Übersetzung zu nutzen.
Wichtig auf der B-Seite ist nur:
The far side of the tunnel does not need any knowledge of the actual LAN network. Their tunnel is built between their local network and the translated post-NAT network.
Die konfigurieren Ihre Phase mit dem geNATeten Netz (in meinem Beispiel oben 10.168.2-4.0/24) und damit sollte es dann wuppen.
Grüße
-
Danke für den Link / Hilfe.
Ich verstehe jedoch die Anleitung aus deinem Link nicht. Es wird dort scheinbar von einer irgendeiner NAT Konfigurationsseite geschrieben, welche jedoch nicht namentlich erwähnt wird. Nach Prüfung der vorhandenen Optionen finde ich auch keine Seite in denen es namentlich "Upper" Local Network oder ein "Lower" Local Network gibt.
"Eine Phase 2 anlegen mit einmal den echten Daten beim Netz (wie bisher) und den NAT Daten bei "translated network"."
Was genau meinst du in dem Fall mit "NAT Daten"?
Ich würde empfehlen das als BiNAT zu machen, also Netze zu suchen, die auf der B Seite nicht genutzt werden und vllt. halbwegs sprechend sind (damit man hinterher weiß was man getan hat) und diese dann 1:1 /24 für die Übersetzung zu nutzen.
Auf der Seite B reagiert bei mir leider, bis auf den Zielserver, keine andere Gegenstelle, daher kann ich nicht herausfinden, welche Netze eventuell etwas machen könnten.
Ich bräuchte eigentlich nur einen Weg von VLAN2 via einer Route über das IPSec VLAN (Seite A) den Zielserver (Seite B) zu erreichen. Gibt es da keine Möglichkeit, einfach die Anfragen aus den VLANs 2,3 und 4, welche an den Zielserver 10.201.1.101 gehen, direkt via dem IPsec VLAN weiterzurouten, ohne dabei NAT in der beschriebenen Art und weise zu verwenden?
Ich habe bereits ein neues Gateway erstellt (Verweist auf das Gateway meines IPsec VLANs Tunnels auf Seite A) und eine statische Route zum Network 10.201.1.0/24 über das Gateway 10.200.1.1 über das IPsec Interface (Seite) eingerichtet.
Ich kann nun via Diagnostics > Ping > Interface auf Auto > den gewünschten Zielserver erreichen. Die Firewall weis also, was er tun muss, wenn ich eine Anfrage direkt bei dem Ping Test stelle > Wie bringe ich das meinen anderen Netzwerken bei? -
Hi,
also bei mir gibt es diese Felder. Es wird hier nicht von einer "NAT Konfigseite" geschrieben, sondern vom Phase 2 Eintrag. Dort gibt es
- MODE
- Local Network
- NAT/BINAT TRANSLATION(!)
- Remote Network
und da kommt genau das rein was ich beschrieben habe. Local Network ist dein normales VLAN 10 Netz, NAT/BINAT kommt das zu übersetzende Netz rein, also im Beispiel das 10.168.2/3/4.0/24 und bei Remote ist es das 10.201.1.0/24
Das wars schon. Bei der normalen Phase 2 hast du ja sicher die NAT/BINAT Zeile leer gelassen :)
-
direkt via dem IPsec VLAN weiterzurouten, ohne dabei NAT in der beschriebenen Art und weise zu verwenden?
Nein! Wie soll das gehen? Natürlich könntest du das erzwingen auf deiner Seite, die Pakete würden aber auf der anderen Seite nach erreichen des Zielnetzes 10.0.201.x verschellen, da die Antwortpakete logischerweise in die dort lokalen Netze abbiegen würden. Denn die andere Seite kannst du nicht verändern/konfigurieren (laut deiner Aussage) und damit hast du da keine Chance. Zudem hat IPSec kein gateway das route-bar wär.
Ich kann nun via Diagnostics > Ping > Interface auf Auto > den gewünschten Zielserver erreichen. Die Firewall weis also, was er tun muss, wenn ich eine Anfrage direkt bei dem Ping Test stelle > Wie bringe ich das meinen anderen Netzwerken bei?
Wie gesagt - gar nicht. Ich weiß nicht was du für ein seltsames Gateway eingestellt hast, aber das wird nicht funktionieren. Dass die Firewall das erreichen kann ist ja logisch, da hier die via SAD/SPD gepushten Routen vorliegen und die Firewall bei einem Ping von ihrer eigenen IP aus pingt, NICHT von deinen VLANs. Diese IP ist auch kein Problem und kommt zurück. Die Konfliktnetze würden aber überhaupt nicht mehr zu dir geleitet werden weil die auf Seite B lokalen Netze Vorrang haben.
-
Sprich: auf Seiten von A werden 3x Phase 2 Einträge mit NAT hinzugefügt, die dann die Duplikatnetze 192.168.2-4.0/24 umsetzen in bspw. 10.168.2-4.0/24. Die Pakete aus den 192er Netzen auf A kommen dann bei Firewall A an, werden umgesetzt in 10.168er IPs und dann durch den Tunnel gedrückt. Die andere Seite B kennt die Remote Netze dann nur als 10.168 und routet das entsprechend dann auch wieder sauber zurück.
Einziger Nachteil ist eben, dass die Pakete dann bei Bs 10.201er Netz mit 10.168 ankommen statt mit 192.168, was aber hier ja gewünscht ist und kein Nachteil sein sollte.
Gruß
Erstmal vielen Dank für die Geduld und Hilfestellungen.
Ich habe testweise eine Phase 2 nun wie von dir beschrieben konfiguriert.
Könntest du mir vielleicht noch ein Beispiel geben, wie ich eines meiner 192.168.2-4 Netze in ein 10.168.2-4 Netz "übersetzen" kann? Via Virtual IP? -
Nein das läuft mit dem oben beschriebenen Verfahren automatisch. Siehe:
Hi,
also bei mir gibt es diese Felder. Es wird hier nicht von einer "NAT Konfigseite" geschrieben, sondern vom Phase 2 Eintrag. Dort gibt es
- MODE
- Local Network
- NAT/BINAT TRANSLATION(!)
- Remote Network
und da kommt genau das rein was ich beschrieben habe. Local Network ist dein normales VLAN 10 Netz, NAT/BINAT kommt das zu übersetzende Netz rein, also im Beispiel das 10.168.2/3/4.0/24 und bei Remote ist es das 10.201.1.0/24
Das wars schon. Bei der normalen Phase 2 hast du ja sicher die NAT/BINAT Zeile leer gelassen :)
Das NATting wird durch den Eintrag im BINAT erledigt. Die andere Seite muss dann statt dem 192.168er Netz das dort eingetragene Nutzen als "remote network" und dann müsste alles klappen.
Gruß
-
Hallo,
das verstehe ich soweit.Hier mal ein direkter Auszug von meiner Konfiguration:
Mode: Tunnel IPv4
Local Network: IPsec_A (10.200.1.0/24)
NAT/BINAT translation: Network 10.168.2.0/24
Remote Network: 10.201.1.0/24Ich erhalte nach dieser Konfiguration unter Status > IPsec > SPDs > folgenden Einträge:
Outbound
Source: 10.200.1.0/24 (Meine Seite A)
Destination: 10.201.1.0/24 (Seite B)Inbound
Source: 10.201.1.0/24 (Seite B)
Destination: 10.200.1.0/24 (Meine Seite A)und
Source: 10.201.1.0/24 (Seite B)
Destination: 10.168.2.0/24 (Meine Seite A)Meine Fragen hierzu:
1. Wie bringe ich der pfsense bei, das hinter dem NAT Subnet 10.168.2.0/24 eigentlich das Subnet 192.168.2.0/24 liegt?
2. Müsste ich dann auf der Seite B, insofern 1. gelöst wurde, ebenfalls, aus Sicht von Seite B, Remote Network Einträge zu meinen Subnetzen 10.168.2,3,4.0/24 erstellen lassen? -
Ich habe das ganze nochmal durchgelesen und meine das System jetzt verstanden zu haben. Ich gebe euch eine Rückmeldung, ob alles funktioniert hat.
Vielen Dank für die Hilfe!
-
Verzeiht den Tripple Post.
Vielen Dank an @JeGr, ich habe es endlich sauber gelöst bekommen.
Das ganze war in der Tat absolut einfach. Einfach ein freies Subnet in das NAT/BINAT TRANSLATION Field reinhauen und diesen dann als Remote bei Seite B einrichten.
Das ist so einfach, das ich den Wald vor lauter Bäumen einfach nicht gesehen habe.
-
Vielen Dank an @JeGr, ich habe es endlich sauber gelöst bekommen.
Super! Vielen Dank auch für die Rückmeldung, freut mich dass es geklappt hat :D
