openvpn Client als site-to-site Verbindung
-
Also ich habe natürlich noch weitere VPN Clients, die sich zur pfsense verbinden sollen.
(Ich kenne das unter dem Namen "roadwarrior") ... und all diese roadwarriors in das 2er Netz, bzw. auf den einen Rechner im 2er Netz, zugreifen können.Deswegen brauche ich doch eine site-to-site Verbindung zwischen der pfsense (also dem 1er Netz) und dem site Client mit dem 2er Netz.
Bfo
-
Moment jetzt wirfst du aber Sachen durcheinander, oder?
Dass du ggf. noch weitere VPN Clients hast, die sich einwählen sollen und in das 1er oder 2er Netz (dann über den Tunnel zur anderen Seite) müssen, ist ja ein Ding.
ABER: Die beiden Anwendungsfälle sind grundverschieden und mit einem Einwahlserver mit User/Pass kannst du keinen Site2Site Tunnel bauen. Dafür gibt es ja genau diese Einstellung und das Setup ist extrem trivial bei einem Site2Site Tunnel mit PSK - das ist auch auf Linux überhaupt nicht schwer aufzubauen!
Es ist ja überhaupt nicht schlimm zwei Server auf der pfSense aufzumachen. Einen für den Tunnel, einen für Roadwarrior wenns soweit ist und alles steht. Aber nicht beides mit dem gleichen Server.
-
@bforpc said in openvpn Client als site-to-site Verbindung:
Deswegen brauche ich doch eine site-to-site Verbindung zwischen der pfsense (also dem 1er Netz) und dem site Client mit dem 2er Netz
Ja, doch du betreibst einen Remote Access Server. pfSense verwendet die Ausdrücke "Remote Access" und "Site to Site" für die unterschiedlichen Modi des OpenVPN Servers. Wie das ins Deutsche übersetzt wurde, weiß ich nicht.
"Remote Access" bietet die Einstellung "Remote Netzwerke" aus gutem Grund nicht. Diese kann sich ja nur auf einen Client beziehen.Daher ist in deinem Fall VPN > OpenVPN > Client Specific Overrides (kenne ebenfalls die Übersetzung nicht für den Client einzurichten, hinter welchen du das Netzwerk erreichen möchtest. Hier kann das Remote Netzwerk angegeben werden. Als Common Name muss der Loginname angegeben werden, bzw. bei Zertifikats-Authentifizierung der Common Name des Zertifikats.
Einen eigenen Server für diesen Client einzurichten, wie es @JeGr empfiehlt, ist vielleicht die einfachere und übersichtlichere Variante. -
Hallo @viragomann und @JeGr,
danke für die Tips.
OK, also ich weiss jetzt, das ich mehrere VPN Server nutzen muss.
Jedoch bringt mich das zu meiner ursprünglichen Frage, wie genau ich einen VPN Server für eine Site to Site Verbindung aufsetzen soll, wenn die Gegenseite nur ein Linux mit openvpn ist.
Die Doku von netgate ist an sich schon sehr gut, jedoch ist mein spezielles Problem nicht dabei. Im Internet habe ich mich fusselig gesucht, aber nichts passendes (oder verständliches) gefunden, um ein solche Verbindung "from scratch" herzustellen.bfo
-
Für den Server spielt es von den Einstellungen her überhaupt keine Rolle ob der Client ein BSD, Linux oder sonstwas ist, die Einrichtung ist immer gleich.
-Rico
-
Ja, das ist soweit klar ... aber damit weiss ich immer noch nicht, wie ich auf dem vpn Client (der site-to-site Verbindung) es so einrichte, wie angefragt.
Oder einfacher gefragt: Ich benötige vom pfsense (server) eine "site to site" Verbindung zu einem openvpn "Client".
Dazu ein Howto wäre echt super.Bfo
-
Was konkretes "wie angefragt" konnte ich aus deinen Beiträgen bisher noch gar nicht herauslesen, eher Verwirrung zwischen S2S und RAS.
Bescheibe doch mal was du genau vor hast und welche Hardware/Software dazu zur Verfügung steht. Vielleicht das Schema noch kurz skizzieren, dann wird man dir recht schnell helfen können.
Ich kann dir die OpenVPN hangouts von JimP (Netgate) wärmstens empfehlen, da wirst du wahrscheinlich mehrere Aha-Erlebnisse haben.
Wenn das Grundprinzip verstanden wurde ist die eigentliche Config nur eine Kleinigkeit, egal ob unter pfSense, Linux, etc.-Rico
-
ja gerne. Folgendes Szenario:
HomeNet
pfsens als GW und FW mit IP 192.168.1.101/24WorkNet
Primärer Linux Server 192.168.2.1/24, Fritzox als GW und FW mit IP 192.168.2.101/24Diese beiden Netze möchte ich verbinden. Ich kann im WorkNet aber keine pfsense installieren. Wenn der Zugriff von und nach dem "Primärer Linux Server" ausschliesslich funktioniert, reicht das aus, es muss nicht das gesamte Netz "WorkNet" im "HomeNet" verfügbar sein ==> es reicht also, wenn der 192.168.2.1 für alle erreichbar ist.
- Jeder Client im "HomeNet" und jeder VPN User (roadwarrior) muss auf das "HomeNet" und mindestens auf den "Primärer Linux Server" zugreifen können
- Alle clients im "WorkNet" müssen auf das "HomeNet" zugreifen können.
bfo
-
Zeig am einfachsten Mal den OpenVPN S2S Server Part von der pfSense, dann kann ich dir eher sagen, wie deine Konfiguration auf dem Client dazu aussehen müsste.
Edit: Ah, Posting kam dazwischen. Moment.
-
@JeGr
das haeb ich alles wieder gelöscht und rausgeschmissen. Letztendlich fange ich bei 0 an.bfo
-
Du wirst im WorkNet aber dann evtl. Probleme haben, weil deine Clients nicht den OpenVPN Server als Gateway kennen. Dort ist die Fritzbox doch das GW oder? Dann wirds ohne NAT mit dem Rückweg Probleme geben bzw. Zugriff von Work auf Home wird dann schwieriger weil asymmetrisches Routing zuschlägt.
Was spricht denn gegen eine pfSense auf Arbeit? Besser als eine Fritzbox alleine allemal? Oder einfach keine Berechtigung die zu installieren?
Alle clients im "WorkNet" müssen auf das "HomeNet" zugreifen können.
Das Problem wird sein, dass deine Work Clients keinen Plan von der Rückroute in das .1.x Netz kennen, das wird da so oder so nicht schön. Dazu müsste dann noch zusätzlich in der Fritzbox irgendwelche Routen mit rein, ansonsten müsste jeder Client/Server wissen, wo das .1.x'er Netz ist
-
Hier findest du eine Lösung wie es geht:
OVPN Client routet
oder auch:
OVPN ClientRelevant ist hier das der Client zwingend IPv4 Forwarding aktiviert hat (Routing)
Bei Winblows ist das ein Eingriff in der Registry:
http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0908.htm
Und das im Client und Server das lokale IP Netz des Clients eingetragen ist fürs Routing.
Damit klappt das dann fehlerlos.
