Zwei getrennte VPN Zugänge via versch. Provider
-
@jegr Also schon mal herzlichen Dank für die ausführliche Antwort und Danke für den Sicherheitshinweis.
Ich habe keine Smart-Geräte (und ja ich kenne auch den Fall wo Hacker mittels der Temperatur APP in einem Aquarium ein Casino gehackt haben...Ich fange mal an zu konfigurieren :
also:
System / Routing / Gateway Groups
Habe beide auf Prio Tier 5Dann VPN / Open VPN
Interface auf die Gruppe von Oben setzen
und dann shared Key export, richtig ?VIELEN DANK !!!
Marco
PS: Werde es heute Abend testen -
Du hast bei Vodafone aber auch eine IPv4 (statisch) oder ein Dual-Stack und nicht son DS-Lite Anschluss Home Zeugs oder?
Denn mit letztem kannst du dich dann zwar schön mit dem Internet Verbinden, bist aber von außen nur über IPv6 direkt erreichbar.
-
@nocling zwei Ip4 Anschlüsse
-
@mpatzwah said in Zwei getrennte VPN Zugänge via versch. Provider:
Ich fange mal an zu konfigurieren :
Wenn du mir auf die Frage antworten kannst, was du von wo nach wo nun haben möchtest, kann ich dir auf die "richtig?" Frage auch eine korrekte Antwort geben :)
Siehe:
@jegr said in Zwei getrennte VPN Zugänge via versch. Provider:
Ist das der richtige Use Case?
Firma 2x WAN, OpenVPN Server, soll via beiden WANs erreichbar sein
Du selbst Client, 1x WAN, Einwahl in Firma mit Failover sollte eine Leitung tot sein?DAS wäre extremst einfach zu lösen :)
-
@jegr Was ich tun möchte?
Von meinem Homeoffice einen VPN Tunnel in die Firma legen (das geht ja bisher auch schon via Telekom)
Nur ist die hier schon 2 Mal für 36 Stunden in den letzten 12 Monaten hier flächendeckend ausgefallen. Deswegen habe ich einen zweiten Anbieter: Vodafone (mit einer Fritzbox)
Über dieses Anschluss komme ich in die Firma aber nicht rein.
Beide haben eine feste IP4 Adresse, bei der Fritzbox habe ich den Port 1194 udp und tcp freigegeben, trotzdem geht es nicht.Ich habe eine Failover Group definiert und mir die Config Files für Windows gezogen, nur steht da die Ip Adresse 192.168. .... drinn. Ich hätte erwartet dass zwei externe IP Adressen drin sein müssten ... Failover und so :-)
-
@mpatzwah
Die Failover Group brauchst du nur für ausgehende Verbindungen. Die muss in System > Routing als Standardgateway gesetzt werden, damit die Anschlüsse wahlweise für ausgehende Verbindungen genutzt werden können.Wie die Einrichtung deiner VPN und das "Failover" des Clients funktionieren, habe ich schon oben in Post #9 bereits beschrieben.
Wenn du einen NAT Router vor der pfSense hast, musst du im Client Export bei Host "Other" auswählen und die externe IP manuell eingeben. Die 2. IP, wie oben beschrieben, muss als ganze remote-Zeile in den Advanced Options eingetragen werden. -
Moin ich frag mal ganz was anderes
Was sagt das log des Ziel vpn servers wenn du dich über die 2te vpn Verbindung versuchst einzuwählen.Ich hab hier das exakt gleiche setup und kann im Moment nicht nachvollziehen
(aus den bisher von dir erhaltenen Infos) wieso es klemmtUnd ja ich bin bei @JeGr @viragomann @micneu @NOCling
Wenn du das nicht richtig baust haste mehr Probleme in der Firma als dir lieb ist admin hin oder chef her (denn hier sind auch einige unterwegs die monatlich Lohn & Gehalt an ihre Mitarbeiter überweisen)Übrigens ist das wie von @JeGr schon gefragt der use case
Ist das der richtige Use Case?Firma 2x WAN, OpenVPN Server, soll via beiden WANs erreichbar sein
Du selbst Client, 1x WAN, Einwahl in Firma mit Failover sollte eine Leitung tot sein?Np
-
@noplan Also erstmal vielen Dank für die zahlreiche Unterstützung, das ist wirklich überwältigend …
Ich habe es noch nicht geschafft, weil ich gerade noch andere IT Probleme habe, aber ich bleibe dran und gebe Rückmeldung.
jetzt haben mich doch einige Posts verunsichert, was kann denn da alles falsch konfiguriert werden? bzw was implodiert mir denn da?
Gruss Marco -
@mpatzwah
Im Grunde soll jeder Rechner, der sich mit dem Firmennetzwerk verbindet, denselben Sicherheitskriterien unterliegen wie die Rechner in der Firma auch. Er soll für dieselbe Nutzungsart bestimmt sein und es soll ein ordentlicher Antiviren- und Malwareschutz drauf sein. Es darf also kein Spiele- oder schmutzige Videos-PC sein.Weiters sollen auf der Firewall in der Firma nur jene Zugriffe (Ziel-IP und Protokolle) vom VPN Client erlaubt sein, die wirklich benötigt werden.
Internetverbindungen vom VPN-Client sollen nicht über die VPN laufen (Splitt-Tunnel).Ich bin eigentlich davon ausgegangen, dass dir dies Dinge bereits bewusst sind.
Grüße
-
@mpatzwah Also solange nicht klar definiert ist, was du bauen willst, kann ich da schlecht weiterhelfen.
Manchmal schreibst du aus Sicht von deinem "Homeoffice", mal aus der Firmensicht, da verstehe ich inzwischen nichts mehr. Es wäre schön, wenn du
a) entweder mal nen kleinen Netzplan machst, egal ob Ascii oder sonst wie (siehe angepinnter Beitrag da sind Möglichkeiten drin)
b) oder einfach mal klar und deutlich beschrieben wird:- wo sind welche Anschlüsse vorhanden
- klare Definition, WO MultiWAN und wo SingleWAN ist
- klare Ansage, was an OpenVPN konfiguriert ist auf welcher Seite und wie
Erst dann kann ich sinnvoll sagen, was genau wie konfiguriert werden muss. Vorher ist das ein einziges Durcheinander, weil es sich teils so anhört, als wenn abgehend aus dem Homeoffice 2 Leitungen da sind - dann muss die Client Seite ja entsprechend konfiguriert sein. Und dann kommen wieder Sätze die so klingen als wäre die Firma mit 2 Leitungen angebunden, dann müsste der Server entsprehchend ganz anders konfiguriert werden und ggf. noch ein Kniff zum MultiWAN rein, damit das sauber funktioniert.
Daher bitte einfach mal klarstellen, welches Szenario wir hier haben :)
Cheers
