Bintec IPSec mit IKEv2 und NAT im Tunnel
Moin zusammen,
mein Gerät: Bintec RS353jwv version V.10.2.12.100 IPv6, IPSec from 2022/08/25
Ich muss in einem VPN-Tunnel meine lokalen Adressen natten. Problem ist, dass die SA weiterhin mit der Original-Adresse (10.234.x.x) aufgebaut wird:
Ich habe eine NAT-Konfiguration für den IPSec-Peer aktiviert, passend dazu kommt folgende Logmeldung:
Das kann allerdings wegen der falschen SA oben nicht funktionieren. Muss ich das NAT "weiter oben" aktivieren und falls ja, wo? Mein PC und der lokale Router sind in demselben IP-Netz (10.234.x.x). Ich habe es bereits mit "Schnittstelle 'beliebig'" probiert. Auf dem Ethernet-Interface ist NAT nicht aktiv, ist das hierfür erforderlich?
Danke für Tipps. Gruß, Christian
mein Gerät: Bintec RS353jwv version V.10.2.12.100 IPv6, IPSec from 2022/08/25
Ich muss in einem VPN-Tunnel meine lokalen Adressen natten. Problem ist, dass die SA weiterhin mit der Original-Adresse (10.234.x.x) aufgebaut wird:
IPSEC: CHILD_SA: peer 23 (Name) traf 0 bundle -206 (I): created 10.234.x.x/24:0 < any > 10.102.x.x/32:0 rekeyed 0
Ich habe eine NAT-Konfiguration für den IPSec-Peer aktiviert, passend dazu kommt folgende Logmeldung:
INET: NAT: new outgoing session on ifc 38100023 prot 6 10.234.x.x:63235/10.201.x.x:61314 -> 10.102.x.x:80
Das kann allerdings wegen der falschen SA oben nicht funktionieren. Muss ich das NAT "weiter oben" aktivieren und falls ja, wo? Mein PC und der lokale Router sind in demselben IP-Netz (10.234.x.x). Ich habe es bereits mit "Schnittstelle 'beliebig'" probiert. Auf dem Ethernet-Interface ist NAT nicht aktiv, ist das hierfür erforderlich?
Danke für Tipps. Gruß, Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3939990360
Url: https://administrator.de/forum/bintec-ipsec-mit-ikev2-und-nat-im-tunnel-3939990360.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
11 Kommentare
Neuester Kommentar
Moin,
hat den die Gegenseite auch die NAT IP-Adresse in die VPN Konfiguration eingetragen?!
Unabhängig davon hast du dich an den Artikel gehalten: bintec Router-Serien und be.IP-Serie - Hinweise zu NAT (Network Address Translation) im IPSec-Tunnel mit N:N-Übersetzung der Quell-IP-Adressen
Gruß,
Dani
hat den die Gegenseite auch die NAT IP-Adresse in die VPN Konfiguration eingetragen?!
Unabhängig davon hast du dich an den Artikel gehalten: bintec Router-Serien und be.IP-Serie - Hinweise zu NAT (Network Address Translation) im IPSec-Tunnel mit N:N-Übersetzung der Quell-IP-Adressen
Gruß,
Dani
Tip: Stelle besser die IP Netze um. Beidseitiges NAT ist Pest und Cholera in einem und nicht wirklich managebar. Ist auch fraglich ob ein einfacher Consumer Router wie der Bintec das kann.
Kollege @Dani hat es ja oben schon gesagt du musst das beidseitig einrichten.
Kollege @Dani hat es ja oben schon gesagt du musst das beidseitig einrichten.
Zitat von @chluebke:
BTW, zu einer anderen Gegenstellte (die allerdings noch IKEv1 verwendet), klappt das mit dem NAT einwandfrei. Eventuell ein Bug in der NAT-Implementierung für IKEv2?
NAT hat erst mal rein gar nichts mit IPSec zu tun (außer beim Verbindungsaufbau der 4500UDP statt 500UDP bei erkanntem NAT Traversal der IPSec Endpunkte). NAT ist eine Funktion in der POSTROUTING/PREROUTING CHAIN der Firewall. Bei MASQUERADING findet dies in der POSTROUTING-Chain statt. Durch festlegen von Quell und Zielnetzen legt man fest ob bei Paketen/Verbindungen die Quell-Adressen umgeschrieben werden die über den Tunnel laufen.BTW, zu einer anderen Gegenstellte (die allerdings noch IKEv1 verwendet), klappt das mit dem NAT einwandfrei. Eventuell ein Bug in der NAT-Implementierung für IKEv2?
In IKEv2 gibt es wie auch in IKEv1 per se kein NAT! Außer der automatischen NAT Traversal Detection über UDP 4500 des Tunnels selber. Das gilt aber wie Kollege @3803037559 schon sagt ausschliesslich NUR für den Tunnel bzw. Tunnelaufbau selber. Es ist de facto kein NAT der Produktivdaten im Tunnel. Das supportet Bintec als Consumersystem vermutlich gar nicht. Müsste man aber dann den Support fragen.