Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    openvpn Client als site-to-site Verbindung

    Scheduled Pinned Locked Moved Deutsch
    20 Posts 5 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      viragomann @bforpc
      last edited by

      @bforpc said in openvpn Client als site-to-site Verbindung:

      Deswegen brauche ich doch eine site-to-site Verbindung zwischen der pfsense (also dem 1er Netz) und dem site Client mit dem 2er Netz

      Ja, doch du betreibst einen Remote Access Server. pfSense verwendet die Ausdrücke "Remote Access" und "Site to Site" für die unterschiedlichen Modi des OpenVPN Servers. Wie das ins Deutsche übersetzt wurde, weiß ich nicht.
      "Remote Access" bietet die Einstellung "Remote Netzwerke" aus gutem Grund nicht. Diese kann sich ja nur auf einen Client beziehen.

      Daher ist in deinem Fall VPN > OpenVPN > Client Specific Overrides (kenne ebenfalls die Übersetzung nicht für den Client einzurichten, hinter welchen du das Netzwerk erreichen möchtest. Hier kann das Remote Netzwerk angegeben werden. Als Common Name muss der Loginname angegeben werden, bzw. bei Zertifikats-Authentifizierung der Common Name des Zertifikats.
      Einen eigenen Server für diesen Client einzurichten, wie es @JeGr empfiehlt, ist vielleicht die einfachere und übersichtlichere Variante.

      1 Reply Last reply Reply Quote 1
      • bforpcB
        bforpc
        last edited by

        Hallo @viragomann und @JeGr,

        danke für die Tips.
        OK, also ich weiss jetzt, das ich mehrere VPN Server nutzen muss.
        Jedoch bringt mich das zu meiner ursprünglichen Frage, wie genau ich einen VPN Server für eine Site to Site Verbindung aufsetzen soll, wenn die Gegenseite nur ein Linux mit openvpn ist.
        Die Doku von netgate ist an sich schon sehr gut, jedoch ist mein spezielles Problem nicht dabei. Im Internet habe ich mich fusselig gesucht, aber nichts passendes (oder verständliches) gefunden, um ein solche Verbindung "from scratch" herzustellen.

        bfo

        1 Reply Last reply Reply Quote 0
        • RicoR
          Rico LAYER 8 Rebel Alliance
          last edited by

          Für den Server spielt es von den Einstellungen her überhaupt keine Rolle ob der Client ein BSD, Linux oder sonstwas ist, die Einrichtung ist immer gleich.

          -Rico

          1 Reply Last reply Reply Quote 0
          • bforpcB
            bforpc
            last edited by

            Ja, das ist soweit klar ... aber damit weiss ich immer noch nicht, wie ich auf dem vpn Client (der site-to-site Verbindung) es so einrichte, wie angefragt.
            Oder einfacher gefragt: Ich benötige vom pfsense (server) eine "site to site" Verbindung zu einem openvpn "Client".
            Dazu ein Howto wäre echt super.

            Bfo

            1 Reply Last reply Reply Quote 0
            • RicoR
              Rico LAYER 8 Rebel Alliance
              last edited by

              Was konkretes "wie angefragt" konnte ich aus deinen Beiträgen bisher noch gar nicht herauslesen, eher Verwirrung zwischen S2S und RAS.
              Bescheibe doch mal was du genau vor hast und welche Hardware/Software dazu zur Verfügung steht. Vielleicht das Schema noch kurz skizzieren, dann wird man dir recht schnell helfen können.
              Ich kann dir die OpenVPN hangouts von JimP (Netgate) wärmstens empfehlen, da wirst du wahrscheinlich mehrere Aha-Erlebnisse haben. 😁
              Wenn das Grundprinzip verstanden wurde ist die eigentliche Config nur eine Kleinigkeit, egal ob unter pfSense, Linux, etc.

              -Rico

              1 Reply Last reply Reply Quote 0
              • bforpcB
                bforpc
                last edited by

                ja gerne. Folgendes Szenario:

                HomeNet
                pfsens als GW und FW mit IP 192.168.1.101/24

                WorkNet
                Primärer Linux Server 192.168.2.1/24, Fritzox als GW und FW mit IP 192.168.2.101/24

                Diese beiden Netze möchte ich verbinden. Ich kann im WorkNet aber keine pfsense installieren. Wenn der Zugriff von und nach dem "Primärer Linux Server" ausschliesslich funktioniert, reicht das aus, es muss nicht das gesamte Netz "WorkNet" im "HomeNet" verfügbar sein ==> es reicht also, wenn der 192.168.2.1 für alle erreichbar ist.

                1. Jeder Client im "HomeNet" und jeder VPN User (roadwarrior) muss auf das "HomeNet" und mindestens auf den "Primärer Linux Server" zugreifen können
                2. Alle clients im "WorkNet" müssen auf das "HomeNet" zugreifen können.

                bfo

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by JeGr

                  Zeig am einfachsten Mal den OpenVPN S2S Server Part von der pfSense, dann kann ich dir eher sagen, wie deine Konfiguration auf dem Client dazu aussehen müsste.

                  Edit: Ah, Posting kam dazwischen. Moment.

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • bforpcB
                    bforpc
                    last edited by

                    @JeGr
                    das haeb ich alles wieder gelöscht und rausgeschmissen. Letztendlich fange ich bei 0 an.

                    bfo

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Du wirst im WorkNet aber dann evtl. Probleme haben, weil deine Clients nicht den OpenVPN Server als Gateway kennen. Dort ist die Fritzbox doch das GW oder? Dann wirds ohne NAT mit dem Rückweg Probleme geben bzw. Zugriff von Work auf Home wird dann schwieriger weil asymmetrisches Routing zuschlägt.

                      Was spricht denn gegen eine pfSense auf Arbeit? Besser als eine Fritzbox alleine allemal? Oder einfach keine Berechtigung die zu installieren?

                      Alle clients im "WorkNet" müssen auf das "HomeNet" zugreifen können.

                      Das Problem wird sein, dass deine Work Clients keinen Plan von der Rückroute in das .1.x Netz kennen, das wird da so oder so nicht schön. Dazu müsste dann noch zusätzlich in der Fritzbox irgendwelche Routen mit rein, ansonsten müsste jeder Client/Server wissen, wo das .1.x'er Netz ist

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • L
                        lfoerster
                        last edited by lfoerster

                        Hier findest du eine Lösung wie es geht:
                        OVPN Client routet
                        oder auch:
                        OVPN Client

                        Relevant ist hier das der Client zwingend IPv4 Forwarding aktiviert hat (Routing)
                        Bei Winblows ist das ein Eingriff in der Registry:
                        http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0908.htm
                        Und das im Client und Server das lokale IP Netz des Clients eingetragen ist fürs Routing.
                        Damit klappt das dann fehlerlos.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.