Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Direktes Routing von VIP zu Rechner hinter IPSec

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 2 Posters 602 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      Comprex
      last edited by

      Hallo zusammen,

      da ich im englischen Bereich hier leider keine Antwort mehr bekomme, hoffe ich einer von Euch kann mir weiterhelfen:

      Bestehender Site-to-site IPSec-Tunnel

      Site1: PFSense / 10.10.254.0 /255.255.255.0
      Site2: FritzBox / 192.168.1.0 /255.255.255.0

      Traffic zwischen den Seiten läuft einwandfrei.

      Da ich auf der Seite1 einige öffentl. IP's habe und auf der zweiten Seite nur eine,
      möchte ich nun eine VIP direkt auf eine Maschine hinter den Tunnel routen (z.B. für LDAP).

      Im englischen Bereich gab man mir folgenden Link, der aber nicht wirklich weiterhilft.
      https://doc.pfsense.org/index.php/Why_can%27t_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN

      Hat jemand von Euch eine Idee hierzu?

      Vielen Dank schonmal.

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Das Problem wird die Phase 2 sein. Zum Einen hat IPSec kein Gateway über das man einfach routen kann, zum anderen sind bei den Phasen immer local/remote eingetragen. Kommt aber die Anfrage aus dem Internet, passt das Paket nicht auf deinen Phase 2 Eintrag und wird nicht geroutet. Darum wird das Vorhaben eher schwer werden, denn die 2er Seite könnte das Paket dann nicht mehr richtig zuweisen, selbst wenn du bei Site1 Netz einfach 0.0.0.0 nehmen würdest.  Dann würde die Fritz alles durch den Tunnel routen, was auch so nicht sein soll.

        Gruß

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • C
          Comprex
          last edited by

          Danke erstmal für die schnelle Antwort.

          Eher schwer= unmöglich oder
          eher schwer= geht irgendwie mit ein bißchen tricksen? :-)

          Wäre echt dankbar für ne Idee, denn ich habe keine Möglichkeit mehr an den Ports der einen IP der Seite 2 rumzubiegen
          und eine 2. öffIP bekomme ich nicht.

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Eher schwer heißt: vielleicht weiß jemand anderes noch einen klugen Ratschlag, ich denke aber dass es aus den genannten Gründen nicht klappen wird. Selbst wenn man die externe IP mit 1:1 NAT mappen würde, bliebe die Source IP immer noch intakt und die andere Seite würde entsprechend asynchron über ihre eigene Internetleitung antworten statt das Ganze durch den Tunnel zu schicken.

            Evtl. gibts ne ganz vertrackte Möglichkeit mit NAT-T und Co. aber das wäre mir momentan nicht klar. Ansonsten wäre es evtl. ne Möglichkeit den internen Loadbalancer dafür zu "mißbrauchen" und auf der Seite 1 den LB zu nutzen um die Connects auf der externen IP anzunehmen und dann als Backend eben eine IP von Seite 2 einzutragen. Dann könnte das ggf. funktionieren, wenn der LB als Proxy selbst ne Verbindung aufbaut und deshalb die Phase 2 nutzt. Käme auf einen Versuch an.

            Grüße

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • C
              Comprex
              last edited by

              Hmm.. dann hoffe ich mal es hat noch jemand eine Idee.

              Habe es grade mit dem LoadBalancer probiert, aber wenig erfolgreich (oder ich bin einfach nur zu blöd)

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.