NAT Outbound and 1:1 LAN zu LAN

AndiK

Hallo,

ich benutze pfsense für die Verbindung mehrere Standort über Ipsec.

Jetzt habe ich eine spezielle Aufgabe bekommen:

Standort A –-----------ipsec----------> Standort B -------------ipsec----------> Standort C
192.168.1.0/24                                    10.19.4.0/24                                        10.135.72.0/24
                192.168.1.0/24-------------->10.135.172.0/24
                                                        Destination NAT nach 10.135.72.0
                                                        1:1 NAT Source zu 10.19.4.249 (If Alias auf LAN)
                                                                            10.19.4.0/24--------------->10.135.72.0/24

Auf der Firewall am Standort B sieht alles ja ganz erfolgreich aus:

Folgende States sehe ich:
IPsec icmp 10.135.72.50:6 (10.135.172.50:6) <- 192.168.1.203:6 0:0
IPsec tcp 10.135.72.50:22 (10.135.172.50:22) <- 192.168.1.203:49451 CLOSED:SYN_SENT
LAN icmp 10.19.4.249:32759 (192.168.1.203:6) -> 10.135.72.50:32759 0:0
LAN tcp 10.19.4.249:25676 (192.168.1.203:49451) -> 10.135.72.50:22 SYN_SENT:CLOSED

Die Zieladresse wurde getauscht und auch die neue Quelladresse ist ersichtlich. Kann sein, dass die Pakete jetzt nicht in den Tunnel "schlüpfen"?

Zugriff auf die Firewall am Standort C habe ich leider nicht.
Direkter Tunnel zw. A und C ist auch nicht gewünscht (wäre mein Vorschlag gewesen).

Beschäftige mich jetzt schon 3 Tage mit diesem Problem und sehe den Wald vor lauter Bäumen nicht mehr.

Vielleicht hat jemand von Euch einen hilfreichen Hinweis für mich.

Danke
Andi

JeGr

Aus deinen Angaben werde ich nicht ganz schlau. Versuchst du das Netz von A via IP von B (10.19.4.249) zu natten bevor es Richtung C abbiegt? Oder wie muss ich das interpretieren? Dann wäre das keine 1:1 NAT, sondern Outbound, mit IPSec als Outbound?

Grüße

AndiK

Hallo JeGr,

ja genau. Ist eh als Outbound definiert.

Das Outbound Natting sollte dann durch den IpSec Tunnel gehen.

Fehlen vielleicht noch Regeln? Geblockt wird nichts.

Servus
AndiK

JeGr

Hmm, es geht ja dann von IPSEC nach IPSEC, also zum gleichen virt. Interface wieder raus. Insofern eigentlich nur Regeln auf dem IPSEC Interface. Evtl. auf dem LAN Interface bei Standort B, da die IP fürs NAT ja eine aus dem lokalen Netz ist. Wird denn laut Log Traffic geblockt? Und wie siehts im Packet Capture aus? Fließt der Traffic überhaupt via IPSEC wieder raus? Kommt auf Seite C was an?

Grüße

AndiK

Hallo JeGr,

ich denke auch, dass das mein Problem ist.

Der Traffic kommt über IpSec herein landet aber am WAN Interface statt wieder am IpSec-Interface, wo sich ja der Tunnel ins Netz 10.135.72 befinden würde.

Damit, wie am Beginn meines Postings, der Traffic am LAN-Interface gelandet ist, hatte ich eine statische Route gesetzt gehabt, die ich aber eigentlich nicht brauchen sollte.

Habe die Route wieder gelöscht und damit landen die Pakete am WAN-Interface.

Die States schauen jetzt so aus.
WAN icmp 192.168.1.203:7 -> 10.135.72.50:7 0:0
WAN tcp 192.168.1.203:55792 -> 10.135.72.50:22 SYN_SENT:CLOSED
IPsec icmp 10.135.72.50:7 <- 192.168.1.203:7 0:0
IPsec tcp 10.135.72.50:22 <- 192.168.1.203:55792 CLOSED:SYN_SENT

Das Outbound-Nat zieht jetzt noch nicht, da ich das auf IpSec gelegt habe, wo der Traffic ja hin sollte, oder sehe ich das falsch?

Wie kann ich schauen, warum der Traffic auf WAN geht?

Servus
Andi

JeGr

Funktionieren denn alle Routen bei B? Das sieht eher so aus, als wüsste er mit dem Traffic nach C nicht umzugehen und würde versuchen den aufs Default GW zu schieben (also WAN)?

AndiK

Hallo,
habe am Wochende die FW neu gebootet.
Leider noch immer das gleiche Ergebnis.
Der Verkehr landet ohne statischer Route von IpSec mit Ziel 10.135. am WAN-Interface.
Setze ich eine Route, landet der Verkehr am LAN-Interface.

Wie komme ich an das Problem mit dem Routing heran?

Servus
Andi