Site 2 Site VPN IPSEC
-
Guten Morgen,
Ich stehe vor folgendem Problem. Ich möchte 2 Site2Site Verbindungen von PFsense zu Fortigate machen. So weit so gut ist das kein Problem. Allerdings haben die beiden Remote LANS den selben IP-Raum (192.168.2.0/24). Das schmeckt der PFSense gar nicht. Wie kann sie das deichseln? Danke Lena
-
Da wirst du dein NAT Netz zwischen bauen müssen. Das können beiden Seiten, ggf. macht das sogar Sinn, je nach Vorhaben.
Will ich einen Dienst/Server anbieten, der sich aber ggf. mal ändert, dann löse ich das gern über NAT, auf meiner Seite, weil ich das dann einfach auf die neue IP umstellen kann ohne das es eine Gegenstelle merkt.
Umgekehrt könnte man genauso lösen, du sprichst also z.B. nicht direkt mit dem Fileserver auf der anderen Seite sondern mit einer virtuellen IP die dann als Destination NAT auf der Forti eingetragen ist.
Bei dir ist aber ein Source NAT auf der pfSense Seite hinterlegt.So hast du das zwar etwas abstrakter, aber dafür kann jede Seite die NATs verwalten wie man lustig ist.
Löst man das nicht mit VTI, muss man halt hier die P2 jeweils anpassen.
Zuerst aber mal eine genaue Erklärung was du vor hast.
-
hi, danke! also was ich möchte:
1 zentraler monitoring server der via Site2Site verschiedene Rechner in den entsprechenden LANs abtastet. bisher hatte ich das mit Forti abgedeckt. Da muss man nicht viel nachdenken, die macht das quasi "von selber"... Stichwort VPN-Assistent.Da ich aber mit Pfsense noch gar keine Erfahrung habe, würde ich mich da über Hilfe sehr freuen...
-
@lenamaria said in Site 2 Site VPN IPSEC:
Ich möchte 2 Site2Site Verbindungen von PFsense zu Fortigate machen. So weit so gut ist das kein Problem. Allerdings haben die beiden Remote LANS den selben IP-Raum (192.168.2.0/24). Das schmeckt der PFSense gar nicht. Wie kann sie das deichseln? Danke Lena
Das Problem kann nicht auf der pfSense alleine gelöst werden. Hier muss eine der Gegenstellen den "ersten Schritt" tun.
Beide haben das Netz 192.168.2.0/24 hinter sich. Eine davon muss es umsetzen (NAT), bspw. aus 10.0.2.0/24. Dann kannst du auf der pfSense dieses Netz als Remote angeben und bspw. die remote IP 192.168.2.85 über 10.0.2.85 ansprechen.
Auf Seite der pfSense wäre das eine normale P2 Konfiguration, NAT muss auf der anderen Seite eingerichtet werden.In pfSense wäre NAT in der Phase 2 zu konfigurieren. Zu Forti kann ich aber nichts sagen.
-
die pfsense soll zu ZWEI fortis die jeweils 192.168.2.0/24 als netz haben ein VPN aufbauen. DAS ist die Fragestellung...
-
@lenamaria
Die Antwort ist: Das kann nicht die pfSense alleine meistern.
Das NAT muss auf einer der Remote-Seiten gemacht werden. Auf der pfSense gibst du dann das entsprechende "Ersatznetz" einfach in der Phase 2 als Remote-Netz an. -
@lenamaria said in Site 2 Site VPN IPSEC:
hi, danke! also was ich möchte:
1 zentraler monitoring server der via Site2Site verschiedene Rechner in den entsprechenden LANs abtastet. bisher hatte ich das mit Forti abgedeckt. Da muss man nicht viel nachdenken, die macht das quasi "von selber"... Stichwort VPN-Assistent.Da ich aber mit Pfsense noch gar keine Erfahrung habe, würde ich mich da über Hilfe sehr freuen...
also so wie ich das lese ist es für ein business netzwerk richtig?
ich würde empfehlen suche dir einen dienstleister der dich da unterstützt.
deshalb gebe ich allen netzwerken die ich einrichte immer einen anderen ip bereich (die excel tabelle ist schon recht lang) -
Ich habe keine Ahnung warum die originalPoster(in) meinte, ihren Account und ihre Posts löschen zu müssen aber ich habe sie aus Nachvollziehbarkeit wiederhergestellt. Sehe auch nicht wo hier das Problem war.
@A Former User said in Site 2 Site VPN IPSEC:
Das schmeckt der PFSense gar nicht. Wie kann sie das deichseln? Danke Lena
Das hat primär nichts mit der Sense zu tun, sondern mit Phase-2 IPsec selbst. Wenn man von einem lokalen Netz (bspw. LAN) zu einem entfernten Netz eine Verbindung aufbaut, wird die via IPsec im Kernel geroutet (taucht auch deshalb nicht in der System Routing Table auf). Und da es nur eine Route zu einem Netz sinnvoll geben kann geht das Setup so nicht.
Das hat aber der @NOCling schon korrekt wiedergegeben. Das liegt auch nicht auf Sense Seite das zu ändern, sondern auf der Remote Seite bei den Fortis. Denen muss verklickert werden, dass sie ausgehend ihr 192.168.2.x Netz NATten müssen durch den Tunnel via VPN. Wenn das korrekt aufgesetzt ist definiert man lokal nur noch 2 VPNs mit anderen Netzen (jenes auf die die jeweilige Forti ihr Netz umschreibt) und hat damit 2 saubere Site2Site Setups ohne Überschneidungen. Die Fortis sollten das können, da es keine "neue" Fragestellung ist. Jeder größere RZ Service Anbieter schreibt inzwischen vor mit welchem Netz man "ankommen" darf und überlässt es dann dem Kunden dass er sein Netz so umbiegt dass es passt.
Somit muss der Sense da gar nicht viel beigebracht werden, sondern eher den Fortis auf der Gegenseite quasi "diktiert" werden, wie sie ihr Netz umschreiben müssen, dann klappt das auch.
Cheers
\jegr
