Side2side IPsec VPN: Internet-Traffic durchs VPN routen
-
Guten Morgen
Schon seit über 5 Jahren setze ich geschäftlich wie auch privat pfSense ein, und habe nun zum ersten Mal ein problem, welches beim besten Willen nicht selber gelöst bekomme. Die Ausgangslage:
WAN / Internet : : : : : optical fibre link : copper link : optical fibre link : copper link : : : : .-----+--------------------------+---. .-----+--------------------------+---. | Switch |--------------------| Switch | '-----+--------------------------+---' '-----+--------------------------+---' | | | | | WAN link 1 | WAN link 2 | WAN link 3 | WAN link 4 | | | | .-----+--------------------------+---. .-----+--------------------------+---. "enemy" copper link .-----------------------. | pfSense master |--------------------| pfsense slave |-----------------------------------| pfsense building 'c' | '-----+--------------------------+---' '-----+--------------------------+---' 10.17.39.0/24 '-----+-----------------' | | | | | | VLAN link | VLAN link | VLAN link | VLAN link LANbC | 192.168.89.0/24 | | | | | .-----+--------------------------+---. .-----+--------------------------+---. ...-----+------... Clients LAN building C | Switch |--------------------| Switch | '-----+---------------------+--------' '-----+--------------------------+---' | | LAN1 | 10.0.0.0/21 LAN2 | 10.0.8.0/21 ...(aso)... | | ...-----+------... (CPU's)Der Plan ist nicht ganz korrekt, die Verbindung zwischen der pfSense im Gebäude C geht auf beide grossen Firewalls, der Lesbarkeit habler habe ich diesen Link weggelassen.
Dieser Link ist das Problem: Es handelt sich dabei um eine beschaltete, gemeinsam genutzte 1Gb/s Ethernetleitung eines "unerfahreren" "Providers". In diesem Netzwerk (10.17.39.0/24) tummeln sich nicht nur unsere Geräte, sondern auch noch diverses anderes an Zeug. (So ist beispielsweise das komplette Netzwerk einer Versicherungsagentur die ein paar Hausnummern weiter komplett zugreifbar)
Der Kauf einer anderen Leitung kommt nicht in Frage, da:
1.: Die Informatik zweifelt nicht die Entscheidung der GL an!!!!!!11111einself
2.: Weisst Du, was es kostet, die Strasse aufzureissen und Deine dämliche Glasfaserleitung zu verlegen?
3.: Wir haben einen 5-Jahres-Vertrag abgeschlossen, sieh zu dass es funktioniert!(Ungefährer O-Ton, allerdings kann ich die Lautstärke nicht gut wiedergeben)
Um das Ganze einigermassen sicher zu machen, habe ich mich für die Implementation von IPSec entschieden. Die Einstellungen sind im Moment kompletter Standart, ich habe lediglich die IP-Adressen angepasst. Der Tunnel wurde erfolgreich aufgebaut, lokales Netzwerk ist 10.10.31.0/24, entferntes Netzwerk ist 192.168.89.0/24, die Kommunikation durch den Tunnel klappt tadellos.
Nur brauche ich jetzt noch Internetzugang am entfernten Standort, die beschaltete Leitung bietet das nicht (und wenn doch hätte ich bedenken, dies zu nutzen). Im Prinzip sollen alle Netzwerkpakete, welche den Standardgateway im entfernten Netzwerk (192.168.89.1) passieren, und nicht für jenes Netzwerk bestimmt sind, auf zum Gateway 10.10.31.1 geroutet werden.
Meiner Meinung nach sollte dies mit 'ner statischen Route zu erledigen sein, allerdings hat bislang jede von mir entwickelte Konfiguration nicht funktioniert.
Hat vielleicht jemand von Euch eine Idee oder ein ähnliches Setup im Einsatz und könnte mir Hilfestellung geben? (Ausser: "Such Dir 'nen neuen Job" :))
Vielen Dank & Grüssle
Horst -
Wenn ich das nun alles richtig verstanden habe wirst du IPSEC dafür nicht nutzen können denn IPSEC ist nicht Routingfähig wenn ich das richtig im Kopf habe.
Durch den Tunnel geht nur das was du auch als Enden definiert hats (Also deine zwei Netze)
Dafür wäre OpenVpn wohl besser geeignet da kenne ich mich aber leider nicht so aus weiß aber das es damit gehen müsste.
-
Hallo flix87
Vielen Dank für Deine Antwort!
[…] den Tunnel geht […]
Das war genau das richtige Stichwort, vielen Dank! Das, was ich vorhabe, kann so nicht funktionieren… Also wieder zurück ans Zeichenbrett!
@moderator: thread kann zu/gelöscht werden, damit betreffend IPsec nicht noch mehr Unsinn verbreitet wird.
Danke,
Horst