Konfig manuelles outbound NAT(LAN) für eine Maschine an einem OPT1 interface!
-
Hallo,
stehe gerade auf dem Schlauch, wie ich genanntes Problem im Betreff lösen kann! Also, folgende Konstellation.Ich habe eine W10 Maschine am OPT1 interface hängen (192.168.4.0/24), die die Adresse 192.168.4.17 hat und möchte, das diese Maschine, wenn sie eine Verbindung Richtung LAN Netzwerk (172.21.5.0/24) aufbaut, mit einer fix zugeordneten LAN IP-Adresse, z.B. 172.21.5.17 genattet wird. Ich benötigte dies deshalb, weil aus dem LAN, IPSEC Tunnel weggehen und ein Verbindung zu bestimmten Resourcen nur aufgenaut wird, wenn man mit einer 172.21.x.x Adresse ankommt!
Ich habe eine virtuelle IP-Alias Adresse 172.21.5.17 am LAN Interface konfiguriert und jetzt frage ich mich wie die manuelle Konfig des outgoing NATs aussehen muss, sofern ich es so lösen kann und was sonnst noch fehlt, Wer kann mir helfen?
Danke vorab,
Sutti -
Hallo,
@NSuttner said in Konfig manuelles outbound NAT(LAN) für eine Maschine an einem OPT1 interface!:
Ich habe eine W10 Maschine am OPT1 interface hängen (192.168.4.0/24), die die Adresse 192.168.4.17 hat und möchte, das diese Maschine, wenn sie eine Verbindung Richtung LAN Netzwerk (172.21.5.0/24) aufbaut, mit einer fix zugeordneten LAN IP-Adresse, z.B. 172.21.5.17 genattet wird. Ich benötigte dies deshalb, weil aus dem LAN, IPSEC Tunnel weggehen und ein Verbindung zu bestimmten Resourcen nur aufgenaut wird, wenn man mit einer 172.21.x.x Adresse ankommt!
ich verstehe da die Anforderung nicht.
Wenn die Maschine ein Verbindung ins LAN aufbaut, soll sie ein IP aus dem LAN bekommen?
Kann ja nicht gehen.Oder meinst du, die besagte Maschine soll auch eine Verbindung mit der IPSec-Remoteseite herstellen können, diese aber nur IPs aus deinem LAN Subnetz akzeptiert??
-
@viragomann Habe ich wohl schlecht erklärt, aber Du hast es richtig verstanden. Genau das ist mein Thema, die Maschine 192.168.4.17 soll die 172.21.5.17 im LAN bekommen, damit sie Zugriff auf entfernte Resourcen, z.B. eine DB bekommt, die nur die 172.21.5.x Adressen akzeptiert.
-
@NSuttner
Okay, dann vergiss NAT im Zusammenhang mit IPSec. IPSec passiert im Kernel direkt. NAT Regeln sind da wirkungslos.Du kannst es aber mit einer speziellen Phase 2 mit BINAT für die IP versuchen. Normalerweise klappt das, kommt aber anscheinend auch auf die Gegenstelle an.
D.h., füge ein P2 hinzu:
local: 192.168.4.17
BINAT: 172.21.5.17
remote: das aus der anderen P2Positioniere diese P2 dann ganz oben, so dass die Regel vor der anderen zum Tragen kommt.
Viel Erfolg!Grüße
-
@viragomann Danke, jetzt weil Du es sagst, kann ich mich auch erinnern, das ich zum Thema IPSEC und NAT auch mal was gelesen hatte, natürlich wieder vergessen :-)! P2 ist inmeinem Fall keine Option, da das IPSEC zur Oracle Cloud (OCI) geht und dort einzelne Tunnels pro Netz notwendig sind! Aber ich löse das jetzt einfach über einen zusätzliche IPSEC Tunnel und route dort das besagte Netz durch, dann brauche ich kein NAT mehr! Trotzdem vielen Dank für Deine Ideen, VG Sutti
-
@NSuttner
Normalerweise sollte auf der Gegenseite keine Anpassung nötig sein. Da gibt es ja eine P2 zu deinem LAN, und in diesem bekommt deine Maschine ein IP.
Aber offenbar funktioniert das nicht bei allen Geräten, sowie manche Leute berichten.
Bei einer pfSense als Gegenstelle funktioniert es beispielsweise klaglos.