OpenVPN TAP Layer 2, ich bekomms nicht hin -> Bitte Hilfe!
-
Hallo zusammen!
Wie im Titel steht, ich denke ich bin da zu doof dafür.
Leider brauche ich TAP da bei beiden Standorten das selbe Netz ist und ich Broadcast Video Pakete übertragen muss.
Wie weit bin ich, also am Hauptstandort laufen 2 Hardware PFSensen im Cluster via Carp -> Hochverfügbarkeit.
Da habe ich den VPN Server aufgesetzt, der läuft soweit auch.
Was mir dabei komisch vorkommt, ich kann am Server nicht Peer to Peer auswählen.
Es geht nur Fernzugriff. Wenn ich Peer to Peer auswähle kann ich die DHCP Einstellungen nicht auswählen.Am zweiten Standort ist auch eine HW PfSense. Diese soll der Client werden.
Den Client habe ich eingerichtet und wenn ich dem Client eine Schnittstelle zuweise bekommt diese auch eine IP vom Server.
Firewallregeln habe ich soweit eingerichtet. Erstmal alles offen.Das Problem, ich bekomme keinen Traffic durch den Tunnel und wüsste auch nicht wie ich da ein Routing hin bekommen soll, sind ja die selben Netze.
Vielen Dank schonmal!
MfG.
-
@Markus4210, warum verwenden die beiden Standorte identische Netzbereiche?
Spricht etwas dagegen, den IP-Bereich am zweiten Standort anzupassen?- Könntest du bitte Screenshots der Server- und Client-Konfigurationen bereitstellen?
- Zudem wäre ein grafischer Netzwerkplan von beiden Standorten hilfreich.
-
@Markus4210 said in OpenVPN TAP Layer 2, ich bekomms nicht hin -> Bitte Hilfe!:
da bei beiden Standorten das selbe Netz ist
Sorry, aber warum hat man an beiden Standorten das selbe Netz? Ist doch klar dass das zu Problemen führt. Wenn es dafür keine zwingenden Gründe gibt würd' ich das umgehend ändern.
Zudem könntest Du dann statt openVPN auch Wireguard nehmen um die Standorte zu verbinden. Ist deutlich einfacher zu konfigurieren.
-
@eagle61
Die Frage ist vielmehr, warum man Broadcasts über die VPN braucht.
Wenn das tatsächlich nötig ist, ist dasselbe Netz auch nötig und eine alternative VPN kann auch nicht Abhilfe schaffen.
Ich glaube gar nicht, dass das mit Wireguard überhaupt möglich wäre.Ein L2 über mehrere Standorte würde ich allerdings vermeiden, wenn nur irgendwie möglich. Also erstmal nach anderen Lösungen suchen.
-
Hallo zusammen!
Schonmal vielen Dank für eure Antworten.
Das selbe Netz auf beiden Standorten hat mehrere Gründe.
Es gibt in summe ca. 60 Clients die alle auf 192.168.1.100 und 192.168.1.29 über einen anderen VPN Server derzeit auf Standort 2 zugreifen.
Der Großteil der Server von Standort 2 werden aber auf Standort 1 übersiedelt.
Somit müssen die Clients dann auch via TUN VPN auf Standort 1 verbinden und dann von Standort 1 via TAP VPN auf Standort 2. Die IP´s in den Clients sind hardcoded. Ich kann diese leider nicht ändern.
Des weiteren brauche ich die Broadcast Pakete. Das sind Video Broadcasts die alle Clients bekommen müssen.Lange Rede kurzter Sinn.
Ich habs soweit hinbekommen.
Die TAP Verbindung läuft. jetzt bin ich grad noch beim Hardening.
Wenn der VPN Server ausfällt verbindet sich der Client nicht neu.
Erst wenn ich die PFSense Box am Standort 2 manuell neu starte geht wieder alles.
Das ist aber blöd -> 100km zum fahren.
Jemand ne Idee?Danke!
Config kommt dann gleich, und werd auch ein Netzschema zeichenen.
MfG.
-
-
-
@Markus4210 said in OpenVPN TAP Layer 2, ich bekomms nicht hin -> Bitte Hilfe!:
Es gibt in summe ca. 60 Clients die alle auf 192.168.1.100 und 192.168.1.29 über einen anderen VPN Server derzeit auf Standort 2 zugreifen.
Der Großteil der Server von Standort 2 werden aber auf Standort 1 übersiedelt.
Somit müssen die Clients dann auch via TUN VPN auf Standort 1 verbinden und dann von Standort 1 via TAP VPN auf Standort 2. Die IP´s in den Clients sind hardcoded. Ich kann diese leider nicht ändern.Ich bin auch gerade in einem Übersiedlungsprozess. Am neuen Standort ist natürlich eine anderes Subnetz.
Als ich einen Server übersiedelte, habe ich am VPN Interface ein Port Forwarding zur neuen IP eingerichtet.
Die VPN User haben sich, wie gewohnt, mit dem Server verbunden, ohne was von der Übersiedlung und dem neuen Server mitbekommen zu haben.Port Forewarding funktioniert auch, wenn die Ziel-IP hardcodet ist.
Wenn der VPN Server ausfällt verbindet sich der Client nicht neu.
Erst wenn ich die PFSense Box am Standort 2 manuell neu starte geht wieder alles.
Das ist aber blöd -> 100km zum fahren.Dann solltest du dir erst mal einen Remote-Zugang verschaffen, einen VPN Access Server oder eventuell auch via SSH.
Wie fällt der VPN Server aus? Wird er manuell abgeschaltet?
Ansonsten sollte ein Server auf einem HA-Setup nicht lange unterbrochen sein und sich ein Client sofort wieder verbinden.Vielleicht finden sich im Log des Clients hilfreiche Hinweise, warum das nicht geschieht.
-
Jetzt mal der Server:
-
Port forwarding -> ja gute Idee.
Bleibt das Problem mit Broadcast und ich habe dann am Standort 1 einen Port auf den 192.168.1.100 offen -> möchte ich nicht....Ausfall.
Derzeit ist das ganze quasi noch im Homelab.
Darum auch Hardening
Aber über 2 getrennte I-Net Verbindungen also sehr Realität nahe.Habe gerade noch was rausgefunden.
1.) der Client hat Probleme mit DNS
2.) nach einem Ausfall kommt die Verbindung wieder kann aber wenn der Cluster ausfällt
vom Cluster nicht mehr auf die PFSense 192.168.1.4 verbinden. Das geht nur wenn ich den Client neustarte. Kann es sein das sich der CLuster eine Route nicht merkt?MfG.
-
Problem 1 behoben.
Der Cluster macht ja DHCP für den Client - der hat den Clients falsche DNS server mitgeschickt.MfG.
-
Anscheinend hat sich mit der DHCP/DNS Umstellung auch Problem 2 gelöst -> warum auch immer.
Vielen Dank für die Denkanstöße!
-
@Markus4210
hast Du mehrere WANs?Ich würde beim VPN Client bei (Schnittstelle) mal "any" einstellen (oder wie auch immer das im deutschen heißt), wenn er sonst auf ein anderes WAN wechselt würde er fest hängen. Den Fehler habe ich mal vor Jahren gemacht und durfte auch 300 km fahren :)
-
@slu
Servus, danke für den Tipp.
Ja momentan - testbetrieb sinds 2 Wans -> wird aber wieder eins, Produktiv dann.MfG.