openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen
-
openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen
also box a und box b via openVPN verbinden
und trotzdem sowohl auf box a und auch auf box B usern noch die möglichkeit sich auf
die netzwerke dahinter zu verbindenjemand ne schnelle idee ;)
-
Was ist jetzt die konkrete Frage, bzw. Problem?
Du kannst unter pfSense so viele OpenVPN Server und/oder Client Instanzen in verschiedenen Modi starten wie du möchtest.-Rico
-
macht es sinn alles auf 1 server laufen zu lassen
oder sollte man das trennen ergo zB 1194 die road warriors und die direkt auf 1195
der box solange genug CPU und RAM vorahnden wirds egal sein, irgendwann wird halt die Leitung der Flaschenhals.danke & LG NP
-
Mit Server meinst du OpenVPN Instanz? Dann ja, auf jeden Fall trennen, sind ja sowieso unterschiedliche Server modes.
-Rico
-
@noplan
Möglich sind hier alle Varianten, auch dass User auf Geräte beider Seiten zugreifen können, gleichgültig mit welcher Box sie verbunden sind.
Die Frage ist erst mal, was du haben möchtest.CPU und RAM wird grundsätzlich je Verbindung verbraucht nicht je Instanz.
-
uiee das mit den usern hab ich ja fast schon befürchtet ...
wäre ein "nice to have" soweit ich das bis jetzt verstanden habesollen sich die beiden boxen "nur" via openVPN verbinden und sonst nix
zeitgleich sollen sich ungehindert VPNuser anmelden können.Meine Vermutung,
irgendein admin will ohne VPN anmeldung von box A auf webGui von box Bhuiii sachen gibts .... ich geh mir mal einen Punsch hoHoho len
-
Ob jetzt openVPN oder IPSec, das ist doch das gleiche Prinzip.
Hängt dann vom Regelwerk und den Routen ab.
Du brauchst einfach auf jeder Seite ein /23 als Minimum und das muss jeweils durch den S2S Tunnel durch.
Dann kannst du über Regelwerk steuern wer sich von welcher Seite wohin weiter tunneln darf.Beispiel, ich habe hier 2 S2S Tunnel, zu meinen Eltern und den Schwiegereltern.
Wenn ich mich mit dem VPN verbinde, kann ich auch in die anderen beiden Netzte rein.
Jedenfalls könnte ich, wenn ich auf letztem mein Netz vollständig eingetragen hätte.Das Aufwändigste ist jedoch jedem User definiertes Regelwerk für die entsprechenden Zugänge zukommen zu lassen.
Vor allem wenn du hier nicht wenige Gruppen sondern jede menge Sonderwürste hast. -
@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:
macht es sinn alles auf 1 server laufen zu lassen
Nö. Willst du nicht.
@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:
oder sollte man das trennen ergo zB 1194 die road warriors und die direkt auf 1195
Auf welchem Port ist Rille. Da Clients / User oftmals empfindlicher sind was Ports angeht, würde ich eher den Tunnel auf nen alternativen Port packen oder per IPSec machen je nachdem was der können muss.
@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:
huiii sachen gibts .... ich geh mir mal einen Punsch hoHoho len
Ist jetzt wirklich kein abgefahrener Wunsch sondern eher Standard. Einwahl will man meist so nah am Client wie möglich und dann eben die Standort Verbindung nutzen die meist dicker ist um nicht unnötig 2x per VPN eingewählt zu sein (was gehen würde BTW - ein Client kann mehrere OVPN Client Zugriffe gleichzeitig fahren). Normales Standardsetup.
Je nachdem wie komplex das Routing ist oder die Netze auf den Seiten aussehen nimmt man eben IPsec um Ressourcen zu schonen oder OVPN fürn Tunnel und ein OVPN für die RWs auf beiden Seiten. Sauber disjunkte Netze überall und es klappt alles auch im Routing.
@nocling said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:
Du brauchst einfach auf jeder Seite ein /23 als Minimum und das muss jeweils durch den S2S Tunnel durch.
Das kann ich so nicht stehen lassen. Brauchen tust du erstmal gar keine Netzgröße, sondern einfach sauber getrennte Netze auf jeder Seite, egal ob für die LAN(s) oder das VPN Einwahlnetz was du mit OVPN machst. Alles andere ist Routingsache. Ob via OVPN oder IPSec.
Man KANN sich das natürlich recht angenehm/einfach machen, wenn man das vorab schonmal ordentlich und gut geplant hat und saubere Netzwerkarchitektur für Zentrale, Außenstellen o.ä. gemacht hat. Jap. Hab ich ja oft genug an verschiedenen Stellen gepredigt. Wenn jede Seite bspw. ihren groben /16 oder /20 Bereich hat, in dem sie diverse /24er vergeben hat für diverse Zwecke und da das OVPN Einwahlnetz auch eines davon ist:
- LAN A: 172.21.1.0/24
- MGMT A: 172.21.0.0/24
- WLAN A: 172.21.2.0/24
- VPN A: 172.21.15.0/24
=> Seite A: 172.21.0.0/20
=> Seite B: 172.21.16.0/20Wenn man sowas also ordentlich geplant hat, dann kann man das Site2Site VPN easy zusammenfassen, indem man auf beiden Seiten bspw. IPSec mit EINER Phase 2 und dem /20 Subnetz macht und gut ist. Den Rest regelt man auf beiden Seiten eingehend auf dem IPSEC Interface und filtert dort, was überhaupt erlaubt ist und was nicht (nix mit "any any * * *" o.ä.)
Damit auch easy erweiterbar mit weiteren Netzen.
Done. Ende. Boop.
