Maskieren einer IP im IPsec-Tunnel



  • Guten Tag,

    bin ganz neu hier und beschäftige mich seit einigen Wochen mit pfSense. Habe da auch gleich mal eine etwas "knifflige" Frage und hoffe das dahingehend der Thread auch richtig fachlich korrekt beschriftet ist.

    Folgendes:

    Ich habe einen IPsec-Tunnel zu einem Cisco RV042 aufgebaut. Nun möchte ich, dass wenn von der Seite des Cisco´s Anfragen zu einer bestimmten IP kommen, die aber nicht meinen Subnetz entsprechen, durch einen anderen Rechner durch den Tunnel beantwortet werden. Sozusagen ich verpasse einen anderen Rechner per NAT eine zusätzliche Adresse. Korrekt?

    Jetzt weiß ich ungefähr wie das ohne IPsec funktioniert, aber mit? Ich möchte ebenfalls das der Client dann aber nicht mit der "zusätzlichen" IP antwortet wen er ebenfalls durch den Tunnel etwas sendet. Sondern mit seiner "richtigen" aus meinem Subnetz.

    Wie kann ich das umsetzen?

    Ich hoffe ihr habt verstanden, was ich versucht habe zu schildern. :-\ :)

    Danke im voraus.



  • Ok, ich habe es hin bekommen. Zumindest auf der Seite der Pfsense funktioniert es, leider wirft der Cisco die Pakete alle weg. Da er keine Option besitzt, die Antworten für ein unbekanntes Netz zurückzusenden. Leider kann man ebenfalls die Phase2 nicht weiter konfigurieren. Aber zumindest kann man sehen, das im TCPdump die Pakete mit der richtigen IP ankommen.

    Nun bleibt nur noch eine kleinere Frage: Wie bekomme ich es hin, das ein Client im LAN der pfsense eine Virtuelle Adresse anpingt die durch den Tunnel auf einen Rechner im LAN des Cisco´s verweist?

    Das wäre demnach ein NAT before IPSEC, oder?