(Gelöst) Inter VPN Routing (OpenVPN > IPSec)

bepo

Das Problem ist, dass ich die Konfiguration auf der Gegenseite nicht anpassen kann. Ich habe also keine Möglichkeit weitere Phase 2 Tunnel hinzuzufügen.

Daher der Ansatz das 192.168.0.0/24 Netz in z.B. 172.17.0.1 zu NATen. Dann wüsste auch die Gegenseite wohin mit dem Antwortpaket.

viragomann

Alles klar.
Lässt sich beim nicht auch IPSec auswählen, um das hinzubekommen?

bepo

Ich habe folgende NAT Regel getestet:

Interface: IPSec
Protocol: Any
Source: 192.168.0.0/24
Destination: 10.0.1.0/24
Translation: 172.17.0.1

Leider ohne Erfolg. Outbound NAT Mode ist Hybrid Outbound NAT.

viragomann

Ich verwende IPSec nicht und kenne Outbound NAT nur mit normalen und OpenVPN Interfaces, daher kenne ich da die hier gebotenen Möglichkeiten nicht.
Aber normalerweise wählt man als Translation address "Interface Address". Es könnte aber auch mit "LAN address" funktionieren, denn dafür gibt es ja eine Route im IPSec.

bepo

Hab einiges durchprobiert. Vielleicht weiß ja sonst noch jemand eine Antwort.
IPSec ist eben der unbestrittene Standard für Site to Site VPNs im Enterprise Bereich.

m0nji

@bepo
Lösung heißt in dem Fall „BINAT“
Erstelle auf der pfSense eine zweite Phase2 für den IPSEC Tunnel
Source: dein OpenVPN Netz
BINAT: eine freie virtuelle IP aus deinem Client Netz
Destination: entferntes Netz

Bin unterwegs, kann dir dann gern noch ein Screenshot schicken

bepo

@m0nji das ist eine sehr gute Idee. Daran hatte ich gar nicht gedacht.
Habe es eben nachgestellt und es funktioniert! NATe nun das OpenVPN Netz in eine einzelne freie IP aus dem Client Netz.

Vielen Dank für die Hilfe!

viragomann

@m0nji
Hi,

reicht es tatsächlich, diese 2. Phase2 nur auf einer Seite einzurichten?

m0nji

@viragomann
sofern du nur aus dem OpenVPN Netz in das entfernte Netz willst ja. Die andere Richtung funktioniert natürlich nicht. Sollte aber auch in den seltensten Fällen notwendig sein, dass man aus dem entfernten Netz ins OpenVPN Netz will.

viragomann

@m0nji
Ok. Danke für die Info.