Moin!

Die Rules auf OpenVPN-IF sitzen beidseitig auf Pass * * * * * * *.

Tracert lässt die Route an der WANIP der anderen pfS enden.

Gruß.

Thorsten

Hallo zusammen,

ich habe die Antwort selbst gefunden.

Es geht. Und es geht sowohl mit IPSec, als auch mit openVPN. Den für mich entscheidenden Hinweis in Kombination mit IPSec war dieser hier:

– schnipp --

You need parallel tunnels for this to work. unfortunately routing across a
tunnel doesn't work (yet).

Example:

LAN1-------pfSense1-----(Internet)---------pfSense2-----------LAN2-------ROUTER------LAN3

You have to use different identifiers at both ends for the tunnels as both
tunnels are established between the same public IPs so the traffic of the
tunnels doesn't mix up.

At pfSense1:
create one preshared key like identifier "" with secret "lan2"
(this is for the "unrouted" tunnel)
create one preshared key like identifier "" with secret "lan3"
(this is for the "routing to next hop" tunnel)

At pfSense2 create the same keys.

Now create the tunnels:

The first tunnel is simple as it is for the directly connected LAN-segments at
both pfSenses (LAN1 and LAN2). Create it just like you usually would do but use
the "" identifier and secret at both ends.

The second tunnel works like this:

At pfSense1 (only special settings mentioned that are different from the other
tunnel):
local subnet: lan subnet
remote subnet: LAN3/subnetmask
identifier and secret of ""

At pfSense2:
local subnet: LAN3/subnetmask <–-- !!!
remote subnet: LAN1/subnetmaks
identifier and secret of ""

Additional to this you need a static route at pfSense2 pointing towards LAN3
via gateway ROUTER.
(and of course you need a route at ROUTER pointing to LAN1 via pfSense2)

– schnapp --

Ich habe es in virtuellen Maschinen nachgebaut und es funktioniert bestens.

Bei openVPN war der entscheidende Hinweis dieser hier:

-- schnipp --

Remote network: Enter the remote(Clients) LAN here, to access more than one network, use the custom options field.

-- schnapp --

Und das ganze dann in dem Format:

Additional local subnets should be added to the custom options like so  (x.x.x.x is the subnet start IP, y.y.y.y is the subnet mask):  push "route x.x.x.x y.y.y.y";

Gruß
Christian

DMZ bei ner Fritz!Box? Seit wann? ;)

Ja AVM baut lustige Boxen und ich mag sie. Für zu Hause. Einen Firmenzugang mit der Fritzbox? Wäre die letzte Möglichkeit und ein Strohhalm den ich greifen würde. Ja Voip und Telefon und so weiter sind damit lustig, aber in deinem Diagramm steht auch was von DNS und die FB hat nun wirklich keinen DNS Server. Es sei denn es läuft noch zusätzlich Freetz o.ä. darauf.
Zudem hoffe ich dass die Firma auch dir gehört, denn so weit es mir bekannt ist, sind Site2Site VPNs in Firmen mit einem Homeoffice nicht "sehr beliebt" (sprich: der Security Guy in der Firma würde dich nen Kopf kürzer machen wenn er das mitbekommt - zumindest unserer ;)), denn was haben XBox, Playstation oder das Laptop der Tochter im VPN/Netz der Firma zu suchen? Richtig - nada :)

Da das Diagramm oben etwas verschoben ist, bin ich irritiert aber ich sehe die Sense in der Firma hinter dem Router etc. als reiner VPN Endpunkt. Warum? Warum nicht die FB als Modem "mißbrauchen" (oder billig eins hinstellen - scheint ja DSL zu sein) und die Sense ihren Job als echter Router machen lassen - und zudem als echter DNS Server (den sie wesentlich besser macht als eine FB - das weiß ich aus Erfahrung!) Damit stünde die Sense an einer Stelle, wo sie dir alles machen kann, VPN Endpunkt, Paketfilter etc. etc.

Vielleicht kannst du das Setup etwas näher beschreiben bzw. uns noch erhellen, wie und warum der Zugriff auf den Server eingeschränkt wird und wie die Anbindung ans Homeoffice sein muss/soll. :)

Hab hier das selbe Problem mit einer AMD Geode 500Mhz Appliance mit Realtek 8139 onboard NICs (4x 10/100MBit). Sobald das LAN interface zugeordnen ist ist die Appliance nicht mehr zu erreichen, lediglich ein Zurücksetzen auf factory und darauffolgende Neukonfiguration schafft abhilfe.

Nach kurzer Zeit tritt der Fehler dann wieder auf.

Logs sagen nichts besonderes bzw. weisen auf keine passenden Fehler hin, mit nur einem Interface gibt es keine Probelme.

Unter FreeBSD Atheros ist das absolut so. Was anderes würde ich da auch nicht versuchen :)

Danke tpf, schön gesagt.
Noch dazu wenn die Sense an einem halbwegs ordentlichen switch hängt, denn dann bekommt sie vom ganzen Traffic im LAN erst recht nichts mit, sofern keiner ins Internet möchte, da der Traffic ja Punkt zu Punkt versendet wird und nicht Broadcast.

Mit ner Firewall Regel wird es schwer ne URL zu Filtern.

Mit HA Proxy hab ich noch nix gemacht. Muss ich mir mal ansehen. Evtl. lässt sich dann darüber bewerkstelligen, was ich möchte. Danke für die Info.

Ich habe inzwischen gelesen, dass dies nur mit einer OPT-Schnittstelle einigermassen machbar ist.

Nun habe ich gedacht, ich gehe folgendermassen vor:

Tausch der Bridge gegen einen Router, den ich in den Transparent-Mode setze:

http://www.akadia.com/services/zyxel_transparent_mode.html

Ich denke nun, dass ich auf der Firewall die IP nach der IP des Zyxel Routers vergebe (wie im Bsp im Link: 83.251.44.194)

Nun möchte ich die IPs 83.251.44.195, 196 und 197 auf interne Geräte naten.

Ich nehme an, da definiere ich die VirtualIPs und erstelle dann ganz normale NAT- und Firewall-Regeln?

Hmm,

kann ich jetzt ad-hoc leider auch nicht weiterhelfen. Sorry.

Problem gelöst (ich bin ein Arbeitskollege von ccz :-)):

Die Beschreibung für die Voucher-Rolls darf keine Sonderzeichen enthalten:

Wir schreiben immer "100 Vouchers à 24h" - und so kam immer der genannte Fehler. Wenn wir das Sonderzeichen weg lassen (also "100 Vouchers a 24h" klappt's problemlos) …

Das ist mal wieder ein Bug ... :-)!

Liebe Grüsse, mc

Vielleicht mal hier vorbeischauen?
http://www.thomas-krenn.com/de/server-systeme/1HE-rack-server/1HE-intel-single-cpu/cse512-server-nehalem.html

Wobei ich wahrscheinlich eher einen Atom nehmen würde…
http://www.thomas-krenn.com/de/server-systeme/1HE-rack-server/1HE-intel-single-cpu/cse502-server.html

Kann eigentlich alles was man braucht, die laufen bei uns immer als echter DC mit, wenn wir den Rest in die virtuellen Welten verschieben

hi,

ich habe gerade testweise den IPsec Tunnel zwischen zwei pfSense (1.2.3-RELEASE) aufbauen lassen … sieht alles OK aus. In der jeweiligen Routing Tabellen, zumindest was über netstat -r ausgegeben wird, findet man auch keine Einträge, die den Weg ins gegenüber VPN weisen. Am Wochenende habe ich hoffentlich wieder etwas Luft für den Test "pfSense <=> Fritz!Box"

tag,

wenn es irgendwo klemmpt, einfach melden.

Hallo

Danke für den Tip, dort kann ich baer nur Https:// Siten hinzufügen

Hi
Ein vlan ist wie eine eigene separate Netzwerkeverbindung .
Ließ mal die Anleitungen der switches
Du hast ja kein billiges equipment Lwl gbic …