VPN zwischen zwei Netzen mit Squid dahinter

B.A.

Hallo,
bin ein "Überläufer" von der M0n0wall und hab gleich eine knifflige Frage.

Folgende Konfiguration hab ich im Testlabor aufgebaut

VPN WLAN
                                          <==========================>
    Netz A –-------------pfsense1------------WLAN1---WLAN2---------pfsense2--------------NetzB----------SQUID ----Firewall---Internet
(10.4.0.0/16) 10.4.0.254 100.100.100.1                    100.100.100.254  10.2.0.254 (10.2.0.0/16)    10.2.0.251

Also VPN läuft, NetzA kann auf die Ressourcen von NetzB zugreifen, VoIP wird über das WLAN "priorisiert", nur krieg ich es nicht hin, dass sie surfen können :(
dazu kommt noch, dass an das Netz B noch 5 weitere ClassB Netze angebunden sind :( ...  die mussen auch noch irgendwie erreichbar sein.
Ach so, das gesamte Routing der bestehenden Netze übernimmt momentan die Firewall, wenn ich es durchbekomme, später vllt ein layer3 Switch

So jetzt kommt die große Frage, geht das überhaupt, was ich mir da so ausgedacht habe?

Gruß
Bernd

hoba

Warum baust Du ein VPN zwischen Netz A und NEtz B? Benutze WPA mit AES-Verschlüsselung, dann kannst Du schön Routen (brauchst nur ne handvoll Routen in allen beteiligten Routern). Noch dazu ist das dann nicht mehr Prozessorabhängig für die Verschlüsselung sondern mit Atheroskarten direkt hardwarebeschleunigt. Zudem funktioniert das Trafficshaping besser (ist im IPSEC-Tunnel nur bedingt möglich). Wenn Du auf Routing umstellst ist es definitiv möglich. Ich habe genau so ein Setup bei einem Kunden laufen seit Monaten, auch wegen VOIP- und Terminalsession-priorisierung.

Mit IPSEC wird's etwas kniffeliger, weil du nicht drüber routen kannst. Dann mußt Du parallele Tunnel aufbauen oder Subnets versuchen unter einer größeren Subnetmaske zusammenzufassen.

B.A.

Ich traue WPA mit dem AES Verschlüsselungsverfahren nicht ohne dass ständig die Passphrase gewechselt wird … und der Admin meines Kunden ist gelinde gesagt nicht gerade der hellste und zudem nachlässig in punkto Passwörter

Das ganze ist eine Notlösung, weil die bestellten Lancoms seit zwei Monaten nicht lieferbar sind. Über die wlan Strecke laufen Firmensensitive Daten (ebenfalls VoIP und Terminal  ;D),
das ganze befindet sich zudem noch mitten in einer Großstadt, daher der VPN Tunnel mit Zertifikaten. Mein Kunde will um jeden Preis seine Daten schützen ... kann ich verstehen. VoIP ist wegen Asterisk Gateways kein Problem und die Terminalserver sind im NetzB  ;D

OK das Problem mit dem Squid hab ich gerade gelöst. Bleibt nur noch das Netzrouting  :(

Welche Einschränkungen gibt es denn bzgl. des Trafficshapings? Ich kann doch auf beiden Seiten LAN-seitig shapen?

Gruß
Bernd

hoba

Es wird immer ausgehend geshaped, das heißt der Downstream läuft auf dem LAN, der Upstream auf dem WAN.  Auf dem WAN ist der Traffic aber nun schon IPSEC, d.h. Traffic innerhalb des Tunnels kann nicht mehr unterschiedlich behandelt werden. bzgl. dem Routing probiere mal folgendes:
Den Tunnel zwischen Netz A und B definiere mal folgendermaßen:

10.4.0.0/16 <-> 0.0.0.0/0

Dadurch müßte alles rüber zur pfSense2 gerouted werden. Wenn Du dort Routen zu den anderen Subnets hast oder andere IPSEC-Tunnel zu anderen Remote Subnetzen sollte das gehen (wenn die anderen Subnetze ihrerseits als Subnets am Endpunkt pfSense2 das Netz A mit beinhalten).

B.A.

Danke für die Erklärung, dann werde ich das Trafficshaping jeweils LAN seitig konfigurieren

mit 0/0 ein VPN aufzubauen scheitert, racoon meldet einen Fehler w/ der "0"; mit 128.0.0.0/1 kann ich zwar einen Tunnel aufbauen, kann aber nichts mehr erreichen, egal welche Routingeinträgen ich setze :(

hoba

Ok, mit so einer großen allumfassenden Subnetzmaske hatte ich es noch nie probiert. Wenn die User hinter dem Wireless Link nur über den Proxy ins Internet gehen würde u.U. ein Subnet, daß alle lokalen Netze, die am Netz B zu erreichen sind ausreichen.

B.A.

Werde ich am Sonntag Abend mal testen
schönes w-ende

Gruß
Bernd