Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC: Mehrer Standorte miteinander kommunizieren lassen

    Deutsch
    3
    6
    3.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      PacDemon
      last edited by

      Hallo erstmal eine Veranschaulichung des Netzes:
      S1 <–---|
      S2 <------> H1
      S3 <----

      S1, S2 und S3 verbinden sich jeweils per IPSEC zu H1.

      S1 und H1 können aufeinander zugreifen
      S2 und H1 können aufeinander zugreifen
      S3 und H1 können aufeinander zugreifen

      S1 über H1 auf S2 können aufeinander zugreifen
      S1 über H1 auf S3 können aufeinander zugreifen
      S2 über H1 auf S1 können aufeinander zugreifen
      S2 über H1 auf S3 können aufeinander zugreifen
      S3 über H1 auf S1 können aufeinander zugreifen
      S3 über H1 auf S2 können aufeinander zugreifen

      IPSec H1 10.1.96.0/19
      Alle S sind mit subnet drin

      Soweit läuft das alles auch prima, seit Monaten.

      Jetzt kommt aber der clou den ich vor habe.

      S1 <-----|
      S2-1 <------> S2 <------> H1
                          S3 <----

      S2-1 baut eine IPSec nach S2 auf, S2-1 muß aber auch nach H1,S1 und S3 komunizieren können über S2 bzw. H1.

      Geht das überhaupt? Alles was ich mal getestet habe, ging nicht. Hat einer mal ein Tipp.

      Danke schön.

      PD

      1 Reply Last reply Reply Quote 0
      • H
        heiko
        last edited by

        hmm, denke das wird nicht gehen in 1.2/1.21. Kann denn S2-1 nicht auch direkt mit H sprechen?

        1 Reply Last reply Reply Quote 0
        • P
          PacDemon
          last edited by

          @heiko:

          hmm, denke das wird nicht gehen in 1.2/1.21. Kann denn S2-1 nicht auch direkt mit H sprechen?

          Ne oder :'(

          Der Hintergrund ist, das H in DE ist, S2 in Washington DC und S2-1 in San Franzisco (Ost/WEST Küste) und das über den großen Teich.
          Dabei Arbeiten S2 und S2-1 direkt miteinander + das in WDC der Mailserver für die User in US liegt.

          Mal so laut Gedacht:
          Was ist wenn man OVPN von S2-1 nach S2 benutzt, dann ein Routing machen? Würde das gehen?

          PD

          1 Reply Last reply Reply Quote 0
          • H
            heiko
            last edited by

            OVPN ist nicht mein Spezialgebiet…, such mal hier im englischen Forum, allerdings hast Du kein Regelwerk im OVPN in 1.2, das kommt erst in 1.3.
            Ich persönlich bin eh kein Fan von der subnet-zentrallösung, weniger Aufwand, aber wenn dein H mal down ist, können die S´s nicht mehr kommuniezieren....

            Regards
            heiko

            1 Reply Last reply Reply Quote 0
            • H
              hoba
              last edited by

              Bau ein Dreieck zwischen S2-1, S2 und H1 auf. Das sollte gehen. Kann nur etwas kniffelig werden mit dem Subnetting. Wäre möglich, daß Du da noch etwas rumrechnen mußt. Wenn Du mal alle internen Netze, so wie sie aktuell an den Standorten existieren angibst könnten wir Dir vielleicht noch etwas genauer dabei helfen.

              Ansonsten wird die 1.3 erlauben Routen über VPNs zu setzen (siehe http://blog.pfsense.org/?p=230 ).

              1 Reply Last reply Reply Quote 0
              • P
                PacDemon
                last edited by

                Hier die Netze:
                H1:    10.1.100.0/23
                S1:    10.1.102.0/23
                S2-1: 10.1.112.0/24
                S2-2: 10.1.113.0/24
                S3:    10.1.111.0/24
                S4:    10.1.115.0/24

                IPSec Netz: 10.1.96.0/19

                Gruß,
                PD

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post