Verständnissfrage mehrere Standorte
-
Der Kommentar bezog sich eher auf
Es sind doch dann automatisch Site2Site Verbindungen, oder ?
Und das ist nicht so. Nur weil ein Server aufgesetzt wird, ist es noch kein Site2Site.
Im übrigen muss nicht zwingend "Pre Shared Key" verwendet werden um routen zu können.
Für erweiterte Routing-Geschichten - so Aussagen von pfSense Supportern - schon. Das wurde u.a. in einem Hangout und in einem Tech-Stream definitiv benannt. Ja ich habe mich auch gewundert, ob P2P+SSL/TLS nicht auch geht. Prinzipiell bleibt es aber damit auch für den Einsatzzweck einfacher einzurichten. "Sicherer" lasse ich mal dahingestellt, denn ob ich nun Zertifikate austausche oder einen entsprechend großen PSK der jeweils nur in 2 Geräte kommt… Nunja. Faktisch gibt es aber PDFs und Unterlagen, in denen konkret davor gewarnt wird, ein anderes Setting zu nutzen wenn später noch erweitertes Routing bspw. via RIP/OSPF/Mesh/whatever genutzt wird.
Grüße
-
Ausser 192.168/16 sind das öffentliche Adressen.
Nach rfc1918 steht:
192.168/16
172.16/12
10/8
zur Vefügung.
Persönlich würde ich die Standorte im 10er Bereich ansiedeln.
Die Transfernetze zwischen den Standorten im 172er Bereich.Ja, war ein Beispiel. Ein blödes Beispiel.
Ich wollte eigentlich was anderes rüber bringenDie ganzen /24 Netzwerke finde ich eher hinderlich. Wenn du später irgendwo noch ein Netz brauchst, ich finde ein Netz pro Standort sowieso etwas merkwürdig, dann macht man sich unnötig Arbeit.
Wenn ich an Standort A folgendes z. B. veranschlage:
10.0.0.0/16
Dann habe ich dort alle Netze von 10.0.0.0 bis 10.0.255.255.
Eine Route bzw die Default Route und ich bin im Geschäft.Standort B:
10.1.0.0/16
Standort C:
10.2.0.0/16usw… usw...
Am Standort muss ich dann natürlich nicht mit den ganzen Netzen Arbeiten, die Anzahl kann ich an der pfSense oder am folgenden Router begrenzen. Muss man jedoch nicht, weil es schadet nicht.
-
Hi,
auch wenn ich jetzt vielleicht geschlachtet werde…
Darf ich fragen WIESO es ein OpenVPN sein muss. Was du hier bisher beschrieben hast ist doch ein klassisches Sites-2-Site VPN. Das kann man auch mit IPSec aufbauen.
Ich frage einfach mal ist OpenVPN hier eine zwingende Vorgabe oder kannst du auch IPSec nutzen. Falls ja solltest du dir das vielleicht mal überlegen, da hier die ganzen Transportnetze wegfallen.Frei nach dem Motto "keep it simple".
Gruß blex
-
Hi , openvpn muss es nicht unbedingt sein. Ich dachte das es nur einfacher sei als IPSec.
Mir geht es hauptsächlich darum das ich die Standorte miteinander verbinde.Ich habe auch noch eine Frage zu dem routing ( "VPN - OpenVPN -Server - Advanced Configuration - Custom options")
Muss ich bei allen 3 OpenVPN Servern das Routing eintragen, und welche IP, die vom Tunnel oder die IPv4 Remote network(s) ?
Z.b. so ! :
push route 192.168.101.0 255.255.255.0
push route 192.168.102.0 255.255.255.0
push route 192.168.103.0 255.255.255.0Gruß
-
Hi,
Muss ich bei allen 3 OpenVPN Servern das Routing eintragen, und welche IP, die vom Tunnel oder die IPv4 Remote network(s) ?
Hier folgen die Einträge eines OpenVPN-Servers 10.10.8.1 (Instanz1)….
push "route 172.16.7.0 255.255.255.0"; (DMZ-Netz hinter dem Server/an pfSense) push "route 10.15.8.0 255.255.255.0"; (OpenVPN-Netz, Remoter Client, von Netz 10.10.8.0/24 erreichbar) route 10.15.8.0 255.255.255.0; (OpenVPN-Netz, Remoter Client, von Netz 10.10.8.0/24 erreichbar)Hier ein Bsp. einer Server-Einzel-Client (Instanz3)…..
push "route 172.16.7.0 255.255.255.0"; (DMZ-Netz hinter dem Server/an pfSense) push "route 10.10.8.0 255.255.255.0"; (OpenVPN-Netz Instanz1) push "route 192.168.55.0 255.255.255.0"; (LAN hinter Client Instanz1) push "route 10.12.7.0 255.255.255.0"; (OpenVPN-Netz Instanz2) push "route 192.168.18.0 255.255.255.0"; (LAN hinter Client Instanz2) route 10.10.8.0 255.255.255.0; (Route zu Instanz1) route 192.168.55.0 255.255.255.0; (Route zu LAN hinter Client1) route 10.12.7.0 255.255.255.0; (Route zu Instanz2) route 192.168.18.0 255.255.255.0; (Route zu LAN hinter Client2)Zur kurzen Erklärung…
Instanz3, Laptop-OpenVPN-Client hat von Remote Zugriff auf pfSense (Hauptstandort/DSL-Anschluss) sowie einen Server hinter der pfSense in der DMZ und auf die OpenVPN Instanzen1 und 2 und deren remote Netze.
Von den remoten LAN-Netzen, ist ein Zugriff auf den Server am Hauptstandort im DMZ-Netz vorgesehen.
Gruss orcape -
okay danke, ;)
und wie muss ich das Routing eintragen wenn ich die Variante mit openvpn nutze ?Die Einträge sind doch wenn ich IPSec als VPN Servern nehme, oder?
Gruß
-
Die Einträge sind doch wenn ich IPSec als VPN Servern nehme, oder?
Ich nutze zur Zeit ausschliesslich OpenVPN und das sind die Einträge für den Server bzw. die Server.
Mit IPSec wird das "SO" nicht funktionieren. -
Hi, ich habe es jetzt so verstanden das ich bei jedem Server die IP von den Standorten und Tunnel eintragen muss ::)
Das push route ist dafür das das LAN von dem Standort erreichbar ist und das Route dann quasi für die Geräte die sich in dem LAN befinden?
Z.b so:
push "route 192.168.101.0 255.255.255.0"; (LAN Standort A)
push "route 192.168.102.0 255.255.255.0"; (LAN Standort B)
push "route 192.168.103.0 255.255.255.0"; (LAN Standort C)
route 192.168.101.0 255.255.255.0; (Route zu LAN hinter Client1)
route 192.168.102.0 255.255.255.0; (Route zu LAN hinter Client2)
route 192.168.103.0 255.255.255.0; (Route zu LAN hinter Client3)
push "route 10.168.101.0 255.255.255.0"; (OpenVPN-Netz Tunnel TA )
push "route 10.168.102.0 255.255.255.0"; (OpenVPN-Netz Tunnel TB )
push "route 10.168.103.0 255.255.255.0"; (OpenVPN-Netz Tunnel TC )
push "route 192.168.18.0 255.255.255.0"; (LAN hinter Client Instanz2)
Netzwerke vor Ort:
Hauptstandort 172.21.0.0/24
Standort A 192.168.101.0/24
Standort B 192.168.102.0/24
Standort C 192.168.103.0/24Die Tunnel:
TA: 10.168.101.0/24
TB: 10.168.102.0/24
TC: 10.168.103.0/24
Gruß
-
Du musst in den Server-Instanzen sowohl die Routen zur jeweils anderen Server-Instanz definieren, sowie die Routen auf dessen Remotes-LAN. Außerdem die Route in der jeweiligen Instanz pushen, um auf Dein LAN am Hauptstandort, (LAN-pfSense) zu kommen.
Also in der Instanz TA…TA: 10.168.101.0/24push "route 172.21.0.0 255.255.255.0"; (um von remote Dein Netz am Hautstandort zu erreichen) push "route 10.168.102.0 255.255.255.0"; (Tunnel2) push "route 192.168.102.0 255.255.255.0"; (Client-LAN2) push "route 10.168.103.0 255.255.255.0"; (Tunnel3) push "route 192.168.103.0 255.255.255.0"; (Client-LAN3) route 10.168.102.0 255.255.255.0; (Tunnel2) route 192.168.102.0 255.255.255.0; (LAN Standort2) route 10.168.103.0 255.255.255.0; (Tunnel3) route 192.168.103.0 255.255.255.0 (LAN Standort3) Das in den anderen Instanzen ebenfalls, natürlich mit entsprechend modifizierten IP-Bereichen. Dann unter "Client-Specific-Overrides eine CCD anlegen und unter "advanced" dem Client die Verweise auf das Client-LAN mit dem... [code]iroute 192.168.101.0 255.255.255.0; [/code] z.B. für die erste Instanz mitgeben. Ohne diese CCD kann es Probleme beim Zugriff auf das remote LAN geben. Je nachdem, wohin Du die Verbindungen wünschst, lässt sich das natürlich auch problemlos modifizieren und nur einzelne Rechner freigeben ist auch kein Problem. Firewallregeln nicht vergessen, sowohl am WAN wie auch unter OpenVPN. Gruß orcape -
supi, alles klar. ;)
Besten Dank.
