(Gelöst) Inter VPN Routing (OpenVPN > IPSec)



  • Hallo Zusammen,

    leider stehe ich mal wieder auf dem Schlauch.

    Ich habe an meiner pfSense ein Site 2 Site IPSec VPN angebunden.
    pfsense (LAN 172.17.0.0/24) > Site to Site VPN zu 10.0.1.0/24
    Traffic aus dem pfSense LAN zum IPSec Netz läuft ohne Probleme.

    An der pfSense gibt es auch ein OpenVPN Server für Client VPN (192.168.0.0/24). Dieses Netz erreicht das 10er Netz im IPSec VPN nicht. Klar - selbst wenn es ankommt, weiß das Gateway auf der Gegenseite nicht wohin mit der Antwort.

    Ein Outbound NAT auf die LAN IP der pfSense hat nicht funktioniert. Habt ihr einen anderen Vorschlag, wie ich den Traffic zustande bekomme, ohne das Site to Site VPN zu bearbeiten?

    Auf Checkpoint und SonicWall Firewalls funktioniert so etwas mit einem Hide NAT (Outbound NAT).

    Wäre sehr dankbar, wenn mir einer erklären könnte, wie ich das Problem löse.

    Viele Grüße



  • @bepo said in Inter VPN Routing (OpenVPN > IPSec):

    Klar - selbst wenn es ankommt, weiß das Gateway auf der Gegenseite nicht wohin mit der Antwort.

    D.h. der IPSec Endpunkt ist nicht das Standard-Gateway? Wenn doch, kann man ihm ja das richtige Routing beibringen.



  • Das Problem ist, dass ich die Konfiguration auf der Gegenseite nicht anpassen kann. Ich habe also keine Möglichkeit weitere Phase 2 Tunnel hinzuzufügen.

    Daher der Ansatz das 192.168.0.0/24 Netz in z.B. 172.17.0.1 zu NATen. Dann wüsste auch die Gegenseite wohin mit dem Antwortpaket.



  • Alles klar.
    Lässt sich beim nicht auch IPSec auswählen, um das hinzubekommen?



  • Ich habe folgende NAT Regel getestet:

    Interface: IPSec
    Protocol: Any
    Source: 192.168.0.0/24
    Destination: 10.0.1.0/24
    Translation: 172.17.0.1

    Leider ohne Erfolg. Outbound NAT Mode ist Hybrid Outbound NAT.



  • Ich verwende IPSec nicht und kenne Outbound NAT nur mit normalen und OpenVPN Interfaces, daher kenne ich da die hier gebotenen Möglichkeiten nicht.
    Aber normalerweise wählt man als Translation address "Interface Address". Es könnte aber auch mit "LAN address" funktionieren, denn dafür gibt es ja eine Route im IPSec.



  • Hab einiges durchprobiert. Vielleicht weiß ja sonst noch jemand eine Antwort.
    IPSec ist eben der unbestrittene Standard für Site to Site VPNs im Enterprise Bereich.



  • @bepo
    Lösung heißt in dem Fall „BINAT“
    Erstelle auf der pfSense eine zweite Phase2 für den IPSEC Tunnel
    Source: dein OpenVPN Netz
    BINAT: eine freie virtuelle IP aus deinem Client Netz
    Destination: entferntes Netz

    Bin unterwegs, kann dir dann gern noch ein Screenshot schicken



  • @m0nji das ist eine sehr gute Idee. Daran hatte ich gar nicht gedacht.
    Habe es eben nachgestellt und es funktioniert! NATe nun das OpenVPN Netz in eine einzelne freie IP aus dem Client Netz.

    Vielen Dank für die Hilfe!



  • @m0nji
    Hi,

    reicht es tatsächlich, diese 2. Phase2 nur auf einer Seite einzurichten?



  • @viragomann
    sofern du nur aus dem OpenVPN Netz in das entfernte Netz willst ja. Die andere Richtung funktioniert natürlich nicht. Sollte aber auch in den seltensten Fällen notwendig sein, dass man aus dem entfernten Netz ins OpenVPN Netz will.



  • @m0nji
    Ok. Danke für die Info.