Re: [FRnOG] [TECH] OPNSense - IPSEC GRE BGP

[David Ponzone]

Oui c’est ça.
Je vois pas comment tu pourrais router ton IP publique sur la VM, c’est un /32.
Alors en fait, y a des moyens, mais c’est du gros bricolo que j’apprécie pas 
trop perso.

Pour le PBR, OPNSense doit gérer ça au niveau du PF, donc ici:

https://docs.opnsense.org/manual/firewall.html# 


Je peux pas en dire plus, je suis allergique à *Sense.


> Le 18 oct. 2022 à 20:04, Lirone Chimoni  a écrit :
> 
> Oui c'est exactement ça mais on peut faire du PBR sur OPNSense ? Je dois 
> installer un autre package ?
> Concernant le SRC-NATer il va se faire avant de rentrer dans le tunnel car 
> pour moi je pensais qu'il fallait éviter le NAT et faire du routing direct de 
> l'ip public sur la VM vers le tunnel, la tu me dit j'utilise l'ip de la VM 
> 192.168.1.10 et je la src nat dans le OPNSense en W.X.Y.Z c'est bien ca ?
> 
> 
> Le mar. 18 oct. 2022 à 20:51, David Ponzone  > a écrit :
> Bon, tes explications ne sont pas hyper claires, mais à priori, ce que tu 
> cherches, c’est à envoyer le traffic venant de la VM et seulement celui-là, 
> dans le tunnel GRE.
> 
> Il faut faire du policy-routing pour forcer le traffic venant de l’IP 
> 192.168.1.X vers le Tunnel, quelque soit la destination.
> Il ne faut pas oublier de SRC-NATer (également appelé masquerading) 
> 192.168.1.X vers W.X.Y.Z.
> 
> > Le 18 oct. 2022 à 19:34, Lirone Chimoni  > > a écrit :
> > 
> > Bonsoir a tous,
> > J'ai monté un tunnel IPSEC avec un Tunnel GRE et du BGP avec le Package
> > os-frr
> > Le tunnel IPSEC est up le Tunnel GRE aussi j'ai du ping des 2 coté le BGP
> > est up je reçois une default route et publie un ip public W.X.Y.Z .
> > Comment sur ma VM je fais pour sortir via le lien BGP, la vm est en ip
> > privé qui est natté via le opnsense pour sortir sur internet.
> > J'ai mis l'ip W.X.Y.Z sur l'interface de loopback de la VM et j'ai fait une
> > route disant qu'il faut l'utiliser pour sortir vers le opnsense sur le
> > linux, en esperant que quand le opnsense va voir cette ip src sur le LAN il
> > saura la tunnel dans le BGP ce qui évidemment ne marche pas.
> > J'ai essayé de faire un static entre W.X.Y.Z et l'ip interne en 192.168.1.X
> > mais je crois pas que c'est la maniere.
> > La doc de opnsense étant cata est que qqun aurait des infos comment
> > procéder ?
> > Merci
> > Lirone
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] OPNSense - IPSEC GRE BGP

[Lirone Chimoni]

Oui c'est exactement ça mais on peut faire du PBR sur OPNSense ? Je dois
installer un autre package ?
Concernant le SRC-NATer il va se faire avant de rentrer dans le tunnel car
pour moi je pensais qu'il fallait éviter le NAT et faire du routing direct
de l'ip public sur la VM vers le tunnel, la tu me dit j'utilise l'ip de la
VM 192.168.1.10 et je la src nat dans le OPNSense en W.X.Y.Z c'est bien ca ?


Le mar. 18 oct. 2022 à 20:51, David Ponzone  a
écrit :

> Bon, tes explications ne sont pas hyper claires, mais à priori, ce que tu
> cherches, c’est à envoyer le traffic venant de la VM et seulement celui-là,
> dans le tunnel GRE.
>
> Il faut faire du policy-routing pour forcer le traffic venant de l’IP
> 192.168.1.X vers le Tunnel, quelque soit la destination.
> Il ne faut pas oublier de SRC-NATer (également appelé masquerading)
> 192.168.1.X vers W.X.Y.Z.
>
> > Le 18 oct. 2022 à 19:34, Lirone Chimoni  a écrit :
> >
> > Bonsoir a tous,
> > J'ai monté un tunnel IPSEC avec un Tunnel GRE et du BGP avec le Package
> > os-frr
> > Le tunnel IPSEC est up le Tunnel GRE aussi j'ai du ping des 2 coté le BGP
> > est up je reçois une default route et publie un ip public W.X.Y.Z .
> > Comment sur ma VM je fais pour sortir via le lien BGP, la vm est en ip
> > privé qui est natté via le opnsense pour sortir sur internet.
> > J'ai mis l'ip W.X.Y.Z sur l'interface de loopback de la VM et j'ai fait
> une
> > route disant qu'il faut l'utiliser pour sortir vers le opnsense sur le
> > linux, en esperant que quand le opnsense va voir cette ip src sur le LAN
> il
> > saura la tunnel dans le BGP ce qui évidemment ne marche pas.
> > J'ai essayé de faire un static entre W.X.Y.Z et l'ip interne en
> 192.168.1.X
> > mais je crois pas que c'est la maniere.
> > La doc de opnsense étant cata est que qqun aurait des infos comment
> > procéder ?
> > Merci
> > Lirone
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] OPNSense - IPSEC GRE BGP

[David Ponzone]

Bon, tes explications ne sont pas hyper claires, mais à priori, ce que tu 
cherches, c’est à envoyer le traffic venant de la VM et seulement celui-là, 
dans le tunnel GRE.

Il faut faire du policy-routing pour forcer le traffic venant de l’IP 
192.168.1.X vers le Tunnel, quelque soit la destination.
Il ne faut pas oublier de SRC-NATer (également appelé masquerading) 192.168.1.X 
vers W.X.Y.Z.

> Le 18 oct. 2022 à 19:34, Lirone Chimoni  a écrit :
> 
> Bonsoir a tous,
> J'ai monté un tunnel IPSEC avec un Tunnel GRE et du BGP avec le Package
> os-frr
> Le tunnel IPSEC est up le Tunnel GRE aussi j'ai du ping des 2 coté le BGP
> est up je reçois une default route et publie un ip public W.X.Y.Z .
> Comment sur ma VM je fais pour sortir via le lien BGP, la vm est en ip
> privé qui est natté via le opnsense pour sortir sur internet.
> J'ai mis l'ip W.X.Y.Z sur l'interface de loopback de la VM et j'ai fait une
> route disant qu'il faut l'utiliser pour sortir vers le opnsense sur le
> linux, en esperant que quand le opnsense va voir cette ip src sur le LAN il
> saura la tunnel dans le BGP ce qui évidemment ne marche pas.
> J'ai essayé de faire un static entre W.X.Y.Z et l'ip interne en 192.168.1.X
> mais je crois pas que c'est la maniere.
> La doc de opnsense étant cata est que qqun aurait des infos comment
> procéder ?
> Merci
> Lirone
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/