opnsense + mikrotik nat/fw

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3296
Lid geworden op: 10 Mar 2010
Bedankt: 340 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 49 keer

opnsense + mikrotik nat/fw

Berichtdoor Splitter » 20 Sep 2018, 23:42

Waarschijnlijk zal het niet zo heel moeilijk zijn maar ik zie even de logica niet:

- ik heb thuis een opnsense firewall, die heeft een openvpn verbinding naar een mikrotik.
de vpn verbinding is *niet* de default route (is ook NIET de bedoeling)

nu wil ik 1 apparaat dat op het interne lan, achter de opnsense zit, over die vpn verbinding sturen,
en wat in de mikrotik aankomt van extern verkeer terug naar dat interne apparaat op mijn lan.
simpel gezegd wil ik gewoon voor 1 specifiek toestel in mijn lan het externe ip van de mikrotik gebruiken.

maar ik kom er dus even niet uit, en hulp zou dus wel geapprecieerd worden :)
ooit zal hier iets nuttigs staan

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4102
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Uitgedeelde bedankjes: 47 keer

Re: opnsense + mikrotik nat/fw

Berichtdoor Ken » 20 Sep 2018, 23:49


Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3296
Lid geworden op: 10 Mar 2010
Bedankt: 340 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 49 keer

Re: opnsense + mikrotik nat/fw

Berichtdoor Splitter » 21 Sep 2018, 23:24

langs de kant van de mikrotik had ik het (afaik) al in orde: ik kan heen en terug pingen op het ingestelde ip en kom waar ik zijn moet...
het probleem is dat als ik met het toestel naar buiten surf, ik nog steeds het IP van mijn vdsl verbinding krijg en niet het externe ip van de vpn.

ik heb thans in de opnsense een regel ingesteld dat alles van dat ip via de vpn zou moeten gaan, dus ik ben even niet mee waarom hij dat dan niet lijkt te doen.
ooit zal hier iets nuttigs staan

blaatpraat
Elite Poster
Elite Poster
Berichten: 770
Lid geworden op: 10 Jan 2014
Bedankt: 61 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 27 keer

Re: opnsense + mikrotik nat/fw

Berichtdoor blaatpraat » 21 Sep 2018, 23:31

Doe eens een traceroute vanaf dat toestel naar buiten, en zie of hij op 1 of andere manier de mikrotik passeert.
Indien niet: bekijk je route tabel, inclusief metrics, op je opnsense toestel, en zie waarom hij een andere (de default) route voorrang geeft op de vpn-route.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3296
Lid geworden op: 10 Mar 2010
Bedankt: 340 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 49 keer

Re: opnsense + mikrotik nat/fw

Berichtdoor Splitter » 22 Sep 2018, 21:03

de enige manier waarop ik het aan de praat krijg is de default GW instellen op de openvpn verbinding, zodat alle verkeer over die verbinding loopt.
via de FW rules (in opnsense) lijkt er geen beginnen aan, het verkeer blijft over de default GW in plaats van de ingestelde GW gaan.
ooit zal hier iets nuttigs staan

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6706
Lid geworden op: 28 Jan 2012
Bedankt: 506 keer
Uitgedeelde bedankjes: 102 keer

Re: opnsense + mikrotik nat/fw

Berichtdoor ITnetadmin » 22 Sep 2018, 21:08

Kan je dat niet makkelijker oplossen door dat device naar een andere GW te sturen die dan forward via de VPN?

blaatpraat
Elite Poster
Elite Poster
Berichten: 770
Lid geworden op: 10 Jan 2014
Bedankt: 61 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 27 keer

Re: opnsense + mikrotik nat/fw

Berichtdoor blaatpraat » 22 Sep 2018, 21:11

Dan lijkt mij dat de source van je routing niet goed ingesteld staat.
Kun je eens zien naar je policy based routes?

https://www.netgate.com/docs/pfsense/ro ... uting.html

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3296
Lid geworden op: 10 Mar 2010
Bedankt: 340 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 49 keer

Re: opnsense + mikrotik nat/fw

Berichtdoor Splitter » 22 Sep 2018, 22:27

ITnetadmin schreef:Kan je dat niet makkelijker oplossen door dat device naar een andere GW te sturen die dan forward via de VPN?


dat zou niet flexibel genoeg zijn naar de toekomst toe, omdat ik echt op device-basis wil gaan kijken welk toestel langs welke GW moet,
ongeacht de vlan waarop dat toestel zich zou bevinden. (i know, mostly useless, maar wel een leuke leerervaring)

blaatpraat schreef:Dan lijkt mij dat de source van je routing niet goed ingesteld staat.
Kun je eens zien naar je policy based routes?


ik heb ondertussen de struikelblokken gevonden:
- de interface waarop de vpn verbinding actief moet komen, moest ook nog fixed datzelfde ip hebben ingesteld
- de firewall rule moest ook nog een bijkomende definitie hebben om het verkeer naar de lokale dns niet erover te sturen (destination != 10.x)

feitelijk is nu enkel maar stap 1 rond, en dat is het verkeer van een specifiek device (via een alias op de dhcp hostname) over een specifieke GW sturen.
stap 2 is nu om specifieke poorten van de andere kant van de tunnel (dus op de mikrotik) te forwarden naar bepaalde poorten op die devices.
ooit zal hier iets nuttigs staan


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast