[*Teil Gelöst*]IPSEC+Roadwarrior+VLAN

blue_moon

ja ich dachte mir, wenn ich das dreieck noch ins spiel bringe kommt keiner mehr klar.

prima gut zu wissen das das klappen würde.

Ich habe 40 TB traffic auf dem Server frei, dass sollte als hobby Admin reichen  ::) ::)

Wäre das aufwändig einzurichten? Sollte ich das unter anleitung auch hinbekommen??

MFG

Blue_Moon

moJ090

@blue_moon:

Hallo moJ090,

wenn, sollten die clients per ipsec und shrewsoft angebunden werden. Das mit der Konfiguration und dem Regelwerk wäre dann ein neues Problem.
Ich betreibe das ganze als Hobby, wie andere an autos schrauben oder mini Eisenbahnwelten erschaffen.

MFG

Blue_Moon

Also mit ipsec und ner pfsense habe ich es noch nie gemacht auf der arbeit haben wir nur cisco gedöns und daheim kann ich so ein Konstrukt leider nicht abbilden ^^

Aber ich würde einfach in den Mobile Client einstellungen die Subnetze der Standorte A B C eintragen(Networklist).
In den pfSensen an Standort A & B jeweils eine Route über pfsense C in das RW netz. Regeln je nach bedarf wo die Standorte bzw. das RW Netz jeweils zugriff haben sollen.

JeGr

@blue_moon: ob das aufwändig ist, hängt davon ab. Soll es IPSec sein? Sind an allen Standorten dann pfSensen am Start? Prinzipiell sollte das gehen. Wie sind denn die Bandbreiten von A, B und C?

Grüße

blue_moon

Alles IPSEC

Alles pfsense

A= APU1D4 V2.2.6
B= APU1D4 V2.3.1
C= Virtuell  V2.2.6

A und B 1 MB/s Up und 16 MB/s Down
C min. 200 MB/s Up und Down

Grüße

blue_moon

Hallo Community,

Ich habe endlich nach unzähligen Try&Error versuchen die Lösung.

Ich musste bei jeder IPSEC verbindung in der Phase 2 die zum Standort C ging, die anderen Subnetze von den anderen IPSEC Verbindungen eintragen.

Selbst der RW kann jetzt auch auf alle 3 Netze zugreifen. Für den Internettraffic des RW habe ich diese Anleitung genutzt: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

Zudem habe ich die Localen subnetze von /24 auf /16 zusammen gefasst

Also soo…

Standort A:

Local 10.3.0.0 /16 zu C 10.1.0.0 /16
Local 10.3.0.0 /16 zu B 10.2.0.0 /16

Standort B:

Local 10.2.0.0 /16 zu C 10.1.0.0 /16
Local 10.2.0.0 /16 zu A 10.3.0.0 /16

Standort C:

-> A: local 10.1.0.0 /16 zu A 10.3.0.0 /16
        local 10.1.0.0 /16 zu B 10.2.0.0 /16

-> B: local 10.1.0.0 /16 zu B 10.2.0.0 /16
        local 10.1.0.0 /16 zu A 10.3.0.0 /16

Ich hoffe, dass ich es einigermaßen verständlich rüberbringen konnte.

Jetzt habe ich noch eine Neues problem.

Ich möchte gerne ein zusäliches Subnetz 10.27.0.0 /16 von C nach A und B auf jeweils ein Interface zuweisen damit ich dieses Subnet an den Standorten per VLAN auf AP verteilen kann.

Hat das schonmal einer versucht?

MFG

Blue_Moon

JeGr

Ich musste bei jeder IPSEC verbindung in der Phase 2 die zum Standort C ging, die anderen Subnetze von den anderen IPSEC Verbindungen eintragen.

Super! :)

Zudem habe ich die Localen subnetze von /24 auf /16 zusammen gefasst

Gab es dafür nen Grund? Also mehrere /24er vor Ort? Dann macht das natürlich Sinn :)

Ich möchte gerne ein zusäliches Subnetz 10.27.0.0 /16 von C nach A und B auf jeweils ein Interface zuweisen damit ich dieses Subnet an den Standorten per VLAN auf AP verteilen kann.

Könntest du das etwas genauer erklären? Ich habe da gerade zwei Sachen im Kopf die aber ganz andere Richtungen sind :)

Gruß

blue_moon

Hi JeGr,

Ja, da ich an den Standorten VLAN nutze, sind dort auch mehere /24er unterwegs

Ich habe meine Skizze wieder angehangen die ich um den FF Router ergänzt habe.

Folgendes Habe ich vor:

Ich nutze das Freifunk am Standort A, möchte aber diesen Router dafür ins RZ verlegen. Dieser ist jetzt auch da (Virtuell). Er ist mit 2 Netzwerkkarten ausgestattet.
1. WAN-> dieser ist mit dem Normalen 10.4.100.0/ 24 subnetz verbunden damit er eine L2TP Verbindung zum FF Backbone aufbauen kann.
2. LAN -> diese Karte stellt dann das 10.27.0.0 /16 netzwerk zum nutzen des FF.

Jetzt habe ich diese 2. Netzwerkkarte (Alles Virtuell) auch der PF zugewiesen so das ich an der pfsense 3 LAN Karten Habe.

Dort fungiert diese 3. Netzwerkkarte als zusätzliches WAN/Gateway.

Jetzt soll dieses Netzwerk über die IPSEC verbindung auf die Standorte A und B damit ich es dort per pfsense als VLAN in meine Infrastrukur an die AP´s weiterleiten kann.

Ich hoffe es ist jetzt verständlicher

MFG

Blue_Moon

JeGr

Ich hoffe es ist jetzt verständlicher

Nicht so ganz ;) Ein 10.4.100er Netz sehe ich nämlich nirgends ;)

Ich nutze das Freifunk am Standort A, möchte aber diesen Router dafür ins RZ verlegen

Warum und Wofür? Warum den wegverlagern wenn du damit nur an A arbeiten willst? Macht das Sinn?

Jetzt habe ich diese 2. Netzwerkkarte (Alles Virtuell) auch der PF zugewiesen so das ich an der pfsense 3 LAN Karten Habe.

Was ist "diese"? Das WAN oder das LAN? Beide!?

Im Prinzip sollte(!) man das einfach über die Phase2 Einträge des Tunnels machen können. Dort dann das Netz an die Standorte pushen, die das benötigen. Und dann eine Regel bei B, die gezielt Traffic von A über das GW von FF rausschickt.

Allerdings ist mir das gerade auf dem Bild und Erklärung nicht ganz klar was du da baust :) Das Konstrukt vorher war da wesentlich klarer :)

blue_moon

Das mit 10.4.100er netz habe ich mich verschrieben, ich meinte ja das 10.1.100.0 /24.

Weil ich es nicht nur auf Standort A sondern auch auch Standort B nutzen möchte ohne dafür 3 Router nutzen zu müssen. Zudem wäre dann alles wichtige Zentral verwaltet.

"Diese" ist die LAN Karte vom dem Virtuellen FF Router.

Die Einträge in der Phase 2 habe ich auch schon erfolgreich eingepflegt. Aber wie dann auf den Standorten A und B in der pfsense genau vorgehen?

Über die IPSEC Firewall Regeln?

Wann brauche ich eigentlich ein Transport oder ein Tunnel IPSEC Modus. Wikipedia ist da etwas naja sagen wir mal…... zu Genau..... also zu Hoch für mich Hobby Admin.
Ist das für meine Knstruktionen Relevant?

MFG

Blue_Moon

JeGr

Aber wie dann auf den Standorten A und B in der pfsense genau vorgehen?

Inwiefern ist das gemeint? Was genau möchtest du denn via Freifunk routen und wie? Also "Pseudocode" gesprochen quasi. :)

Grüße

blue_moon

Ich möchte das Freifunknetzwerk von C auch auf den Standorten A und B haben.

Ich möchte dann das Freifunknetzwerk welches ja dann auf die pfsense´s von A und B trifft in ein VLAN Netzwerk "umwandeln" und dieses dann über das VLAN Switch an die VLAN AP´s bringen.

So dass ich dann Freifunk SSID´s  an den Standorten A und B habe, worüber ich die Leute im Umkreis von ca 100m mit legalem , freien und kostenlosen WLAN versorgen möchte.

Wenn es zu undurchsichtig sein sollte, können wir auch sehr gerne telefonieren, wenn bedarf besteht.

MFG

blue_moon

JeGr

Das lässt sich ohne weiteres IMHO nicht mit IPSec bauen.

blue_moon

Dann gehe ich jetzt nach deinem Wortlaut davon aus, dass die pfsense selber nicht das Problem stellt, sondern nur die Verbindungsart.
Wenn nicht mit IPSEC womit dann? OpenVPN oder L2TP?

Blue_Moon

JeGr

Ich denke mit OpenVPN als Tunnel wäre das ggf. lösbar, da man dann lokal bei A und B das OVPN Interface der Tunnelverbindung als Interface assignen kann und damit auch ein echtes Gateway innerhalb der pfSense hat, das man in Filterregeln für policy based routing verwenden kann.

blue_moon

OK, danke für den Hinweis. Ich will gucken wie es dann ans laufen bekomme.
Ich melde mich wenn ich Ergebnise vorweisen kann  ;) ;)

MFG

Blue_Moon