1
NAT via Virtual Tunnel Interface (VTI, IPSec)
Hallo zusammen,
ich möchte aus mehreren Netzwerken (10.50.1.0/24, 10.50.2.0/24) die IP 172.20.1.150 erreichen. Allerdings kann ich diese nicht direkt ansprechen. Auf der Gegenstelle ist eine Route auf die 10.200.10.0/24 angelegt, Routingeinträge für die 10.50.1.0/24, 10.50.2.0/24 fehlen. Hier sehe ich deswegen nur die Chance, den Datenaustausch via NAT zu lösen.
Meine Recherchen waren wenig erfolgreich. Die meisten Artikel bzw. Beiträge behandeln dieses Thema, mit einem Policy-Based IPSec und manuellen SPD Einträgen in der Phase 2. Diese Position steht mir in der OPNsense wegen dem VTI allerdings nicht zur Verfügung.
In einem Testaufbau besteht zwischen den Hosts über die gesamte Strecke eine Verbindung. Testweise auch bis zum gewünschten Client.
Mir gelingt es allerdings nicht, zwischen der OPNsense und der Gegenstelle einen NAT für den Tunnel zu implementieren.
Ist die Konstellation mit VTI bekannt und wie lässt sich ein NAT implementieren/konfigurieren?
Danke schon mal für das Interesse an diesem Thema.
ich möchte aus mehreren Netzwerken (10.50.1.0/24, 10.50.2.0/24) die IP 172.20.1.150 erreichen. Allerdings kann ich diese nicht direkt ansprechen. Auf der Gegenstelle ist eine Route auf die 10.200.10.0/24 angelegt, Routingeinträge für die 10.50.1.0/24, 10.50.2.0/24 fehlen. Hier sehe ich deswegen nur die Chance, den Datenaustausch via NAT zu lösen.
Meine Recherchen waren wenig erfolgreich. Die meisten Artikel bzw. Beiträge behandeln dieses Thema, mit einem Policy-Based IPSec und manuellen SPD Einträgen in der Phase 2. Diese Position steht mir in der OPNsense wegen dem VTI allerdings nicht zur Verfügung.
In einem Testaufbau besteht zwischen den Hosts über die gesamte Strecke eine Verbindung. Testweise auch bis zum gewünschten Client.
Mir gelingt es allerdings nicht, zwischen der OPNsense und der Gegenstelle einen NAT für den Tunnel zu implementieren.
Ist die Konstellation mit VTI bekannt und wie lässt sich ein NAT implementieren/konfigurieren?
Danke schon mal für das Interesse an diesem Thema.
┌───────────────────────────┐ ┌───────────────────────────┐
│ │ VTI (IPsec) │ │
│ Firewall (OPNsense) │ 10.10.1.20/30 │ Firewall │
│ │────────────────────────────│ │
│ │ .21 │ .22 │ │
│ │ │ │ │
└───────────────────────────┘ NAT └───────────────────────────┘
│ .26 10.200.10.0/24 │ .1
│ : │
│ 172.20.1.0/24 │ LAN
│ │ 172.20.1.0/24
│ VTI (IPsec) │
│ 10.10.1.24/30 │ .150
│ ┌───────────────────────────┐
│ │ │
│ │ Client │
│ .25 │ │
┌───────────────────────────┐ │ │
│ │ │ │
│ Firewall (Sophos) │ └───────────────────────────┘
│ │
│ │
│ │
└───────────────────────────┘
│ │
│ └─────────────┐
│ │
│ │
┌───────────────────────────┐ ┌───────────────────────────┐
│ │ │ │
│ LAN A │ │ LAN B │
│ 10.50.1.0/24 │ │ 10.50.2.0/24 │
│ │ │ │
│ │ │ │
└───────────────────────────┘ └───────────────────────────┘ 
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671757
Url: https://administrator.de/forum/nat-via-virtual-tunnel-interface-vti-ipsec-671757.html
Ausgedruckt am: 06.03.2025 um 00:03 Uhr
1 Kommentar
Das Stichwort ist „routed VTI“! Siehe dazu auch hier:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Damit kannst du dann auf dem Interface ein einfaches Source NAT machen.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Damit kannst du dann auf dem Interface ein einfaches Source NAT machen.
