[*Teil Gelöst*]IPSEC+Roadwarrior+VLAN
-
Hallo pfsense Community,
ich suche schon lange nach einer Lösung zu meinen 2 Problemen.
Aber erstmal meine Config:
Standort A: APU1D4 Version 2.2.6 mit 2 aktiven IPSEC Verbindungen zu Punkt B und Punkt C (10.3.100.0/24)
Standort B: APU1D4 Version 2.2.6 mit 2 aktiven IPSEC Verbindungen zu Punkt C und Punkt A (10.2.100.0/24)
Standort C: Virtuell Version 2.2.6 mit 2 aktiven IPSEC Verbindungen zu Punkt A und Punkt B (10.1.100.0/24)
Zusätzlich 10 Roadwarrior(RW) verbindungen jeweils an den Standorten A, B und C (10.1/2/3.50.0/24)Meine Probleme:
1. Wie ihr seht, ist das ganze in einem Stern aufgebaut und der RW hat seine Auswahl zu wem er sich konnekten kann. Dieses möchte ich gerne ändern.
Ich möchte gerne nur eine RW Verbindung zum Standort C haben, welcher dann den zugriff auf die Netze der Standorte von A, B und C ermöglicht. Ist das umsetzbar?? Was brauch ihr noch an Infos?2. Da ich zu 100% mit VLANs an diesen 3 Standorten arbeite, würde ich gerne zu Administrationszwecken die IPSEC Verbindgen VLAN´s zu ordnen.
So dass später
VLAN 13 zu Standort A
VLAN 12 zu Standort B
VLAN 11 zu Standort C gehört.Ist das auch möglich, welche Infos Benötigt ihr noch?
Ich hoffe ich kann euer Interesse wecken, und bitte um Unterstützung. DANKE
MFG
Blue Moon
-
kurz zu 2) ich verstehe die Intention nicht, die VPN Links mit VLANs zu taggen. Das ist doch unnötig bzw. geht überhaupt nicht, da du ja nicht wie bei OpenVPN ein Transfernetz zwischen den Endpunkten hast. Und das IPSec Interface kann man m.W. nicht untergliedern in VLANs. Wozu auch, der Traffic ist separiert und verschlüsselt. Und an den Standorten sind die VLANs - so die auf der pfSense jeweils aufliegen - dann eh als eigenes "Interface" sichtbar.
Grüße
-
Hallo JeGr,
Erstmal danke das du dich gemeldet hast, ihr hättet mich ja auch dumm sterben lassen können ;D ;D
Also Ich hatte vor, das jeweilige IPSEC "Interface" für die pfsense als VLAN besser sichtbarer zu machen um es dann besser in die Infrastruktur integrieren zu können. So als wenn es ein Physiches / Virtuelles interface wäre.
Aber ich verstehe was du meinst. Es war auch nur eine frage der machbarkeit.Wie denkst du bei Punkt 1, meiner Probleme.
Dieses Szenario dürfte doch dem einen oder anderen System oder Netzwerkadministrator bekannt sein?MFG
Blue_Moon
-
Hallo zuammen,
Willst du per IPSec oder OpenVPN die mobilen anbinden?
Das mit den anderen Standorten sollte kein problem sein du kannst ja mehrere Remote Netze in der konfiguration angeben musst halt schauen das die Routen und Regeln das ganze dann auch erlauben.
Gruß moJ090
-
Hallo moJ090,
wenn, sollten die clients per ipsec und shrewsoft angebunden werden. Das mit der Konfiguration und dem Regelwerk wäre dann ein neues Problem.
Ich betreibe das ganze als Hobby, wie andere an autos schrauben oder mini Eisenbahnwelten erschaffen.MFG
Blue_Moon
-
Also Ich hatte vor, das jeweilige IPSEC "Interface" für die pfsense als VLAN besser sichtbarer zu machen um es dann besser in die Infrastruktur integrieren zu können. So als wenn es ein Physiches / Virtuelles interface wäre.
Aber ich verstehe was du meinst. Es war auch nur eine frage der machbarkeit.Ich mag mich täuschen aber m.W. hat IPSEC an der Stelle kein echtes virtuelles Interface pro Server, sondern nur ein kombiniertes. Damit kannst du kein Tagging machen - was an der Stelle eh wie gesagt keinen Vorteil hätte den ich mir gerade vorstellen kann.
Zu 1)
Ich möchte gerne nur eine RW Verbindung zum Standort C haben, welcher dann den zugriff auf die Netze der Standorte von A, B und C ermöglicht. Ist das umsetzbar?? Was brauch ihr noch an Infos?
Kannst du das etwas näher ausführen?
-
Ich habe mal ein Bild angehangen wie ich mir das vorstelle.
Der RW (gestrichelte linie) soll sich per LTE &Co. am RZ per IPSEC anmelden und dann auf die Standorte A,B und C zugreifen können. Sprich SMB HTTP und Co.
Genauso sollen die Standorte A und B über das RZ ihre Daten austauschen. (Durchgezogene line)
MFG
Blue_Moon
-
Aaaaaah! DING
und schon macht das ganze Konstrukt plötzlich so viel mehr Sinn :D Du willst die potentiell dicke Leitung des RZ als internes "Backbone" für deine Standorte gebrauchen. Das ist jetzt klarer :) So fehlt aber das "Dreieck" aus deiner vorherigen Beschreibung - sprich du jagst Daten von B nach A jetzt über die Pipe von C und nicht mehr direkt zu A. Wenn das vom Traffic her OK ist und kein Bandbreitenproblem oder Kostenproblem gibt, ist das m.E. gut machbar. Ansonsten kannst du natürlich nach wie vor einen A<=>B Tunnel noch haben, über den dann direkte Kommunikation läuft sofern die überhaupt nötig ist.
Grüße
-
ja ich dachte mir, wenn ich das dreieck noch ins spiel bringe kommt keiner mehr klar.
prima gut zu wissen das das klappen würde.
Ich habe 40 TB traffic auf dem Server frei, dass sollte als hobby Admin reichen ::) ::)
Wäre das aufwändig einzurichten? Sollte ich das unter anleitung auch hinbekommen??
MFG
Blue_Moon
-
Hallo moJ090,
wenn, sollten die clients per ipsec und shrewsoft angebunden werden. Das mit der Konfiguration und dem Regelwerk wäre dann ein neues Problem.
Ich betreibe das ganze als Hobby, wie andere an autos schrauben oder mini Eisenbahnwelten erschaffen.MFG
Blue_Moon
Also mit ipsec und ner pfsense habe ich es noch nie gemacht auf der arbeit haben wir nur cisco gedöns und daheim kann ich so ein Konstrukt leider nicht abbilden ^^
Aber ich würde einfach in den Mobile Client einstellungen die Subnetze der Standorte A B C eintragen(Networklist).
In den pfSensen an Standort A & B jeweils eine Route über pfsense C in das RW netz. Regeln je nach bedarf wo die Standorte bzw. das RW Netz jeweils zugriff haben sollen. -
@blue_moon: ob das aufwändig ist, hängt davon ab. Soll es IPSec sein? Sind an allen Standorten dann pfSensen am Start? Prinzipiell sollte das gehen. Wie sind denn die Bandbreiten von A, B und C?
Grüße
-
Alles IPSEC
Alles pfsense
A= APU1D4 V2.2.6
B= APU1D4 V2.3.1
C= Virtuell V2.2.6A und B 1 MB/s Up und 16 MB/s Down
C min. 200 MB/s Up und DownGrüße
-
Hallo Community,
Ich habe endlich nach unzähligen Try&Error versuchen die Lösung.
Ich musste bei jeder IPSEC verbindung in der Phase 2 die zum Standort C ging, die anderen Subnetze von den anderen IPSEC Verbindungen eintragen.
Selbst der RW kann jetzt auch auf alle 3 Netze zugreifen. Für den Internettraffic des RW habe ich diese Anleitung genutzt: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel
Zudem habe ich die Localen subnetze von /24 auf /16 zusammen gefasst
Also soo…
Standort A:
Local 10.3.0.0 /16 zu C 10.1.0.0 /16
Local 10.3.0.0 /16 zu B 10.2.0.0 /16Standort B:
Local 10.2.0.0 /16 zu C 10.1.0.0 /16
Local 10.2.0.0 /16 zu A 10.3.0.0 /16Standort C:
-> A: local 10.1.0.0 /16 zu A 10.3.0.0 /16
local 10.1.0.0 /16 zu B 10.2.0.0 /16-> B: local 10.1.0.0 /16 zu B 10.2.0.0 /16
local 10.1.0.0 /16 zu A 10.3.0.0 /16Ich hoffe, dass ich es einigermaßen verständlich rüberbringen konnte.
Jetzt habe ich noch eine Neues problem.
Ich möchte gerne ein zusäliches Subnetz 10.27.0.0 /16 von C nach A und B auf jeweils ein Interface zuweisen damit ich dieses Subnet an den Standorten per VLAN auf AP verteilen kann.
Hat das schonmal einer versucht?
MFG
Blue_Moon
-
Ich musste bei jeder IPSEC verbindung in der Phase 2 die zum Standort C ging, die anderen Subnetze von den anderen IPSEC Verbindungen eintragen.
Super! :)
Zudem habe ich die Localen subnetze von /24 auf /16 zusammen gefasst
Gab es dafür nen Grund? Also mehrere /24er vor Ort? Dann macht das natürlich Sinn :)
Ich möchte gerne ein zusäliches Subnetz 10.27.0.0 /16 von C nach A und B auf jeweils ein Interface zuweisen damit ich dieses Subnet an den Standorten per VLAN auf AP verteilen kann.
Könntest du das etwas genauer erklären? Ich habe da gerade zwei Sachen im Kopf die aber ganz andere Richtungen sind :)
Gruß
-
Hi JeGr,
Ja, da ich an den Standorten VLAN nutze, sind dort auch mehere /24er unterwegs
Ich habe meine Skizze wieder angehangen die ich um den FF Router ergänzt habe.
Folgendes Habe ich vor:
Ich nutze das Freifunk am Standort A, möchte aber diesen Router dafür ins RZ verlegen. Dieser ist jetzt auch da (Virtuell). Er ist mit 2 Netzwerkkarten ausgestattet.
1. WAN-> dieser ist mit dem Normalen 10.4.100.0/ 24 subnetz verbunden damit er eine L2TP Verbindung zum FF Backbone aufbauen kann.
2. LAN -> diese Karte stellt dann das 10.27.0.0 /16 netzwerk zum nutzen des FF.Jetzt habe ich diese 2. Netzwerkkarte (Alles Virtuell) auch der PF zugewiesen so das ich an der pfsense 3 LAN Karten Habe.
Dort fungiert diese 3. Netzwerkkarte als zusätzliches WAN/Gateway.
Jetzt soll dieses Netzwerk über die IPSEC verbindung auf die Standorte A und B damit ich es dort per pfsense als VLAN in meine Infrastrukur an die AP´s weiterleiten kann.
Ich hoffe es ist jetzt verständlicher
MFG
Blue_Moon
-
Ich hoffe es ist jetzt verständlicher
Nicht so ganz ;) Ein 10.4.100er Netz sehe ich nämlich nirgends ;)
Ich nutze das Freifunk am Standort A, möchte aber diesen Router dafür ins RZ verlegen
Warum und Wofür? Warum den wegverlagern wenn du damit nur an A arbeiten willst? Macht das Sinn?
Jetzt habe ich diese 2. Netzwerkkarte (Alles Virtuell) auch der PF zugewiesen so das ich an der pfsense 3 LAN Karten Habe.
Was ist "diese"? Das WAN oder das LAN? Beide!?
Im Prinzip sollte(!) man das einfach über die Phase2 Einträge des Tunnels machen können. Dort dann das Netz an die Standorte pushen, die das benötigen. Und dann eine Regel bei B, die gezielt Traffic von A über das GW von FF rausschickt.
Allerdings ist mir das gerade auf dem Bild und Erklärung nicht ganz klar was du da baust :) Das Konstrukt vorher war da wesentlich klarer :)
-
Das mit 10.4.100er netz habe ich mich verschrieben, ich meinte ja das 10.1.100.0 /24.
Weil ich es nicht nur auf Standort A sondern auch auch Standort B nutzen möchte ohne dafür 3 Router nutzen zu müssen. Zudem wäre dann alles wichtige Zentral verwaltet.
"Diese" ist die LAN Karte vom dem Virtuellen FF Router.
Die Einträge in der Phase 2 habe ich auch schon erfolgreich eingepflegt. Aber wie dann auf den Standorten A und B in der pfsense genau vorgehen?
Über die IPSEC Firewall Regeln?
Wann brauche ich eigentlich ein Transport oder ein Tunnel IPSEC Modus. Wikipedia ist da etwas naja sagen wir mal…... zu Genau..... also zu Hoch für mich Hobby Admin.
Ist das für meine Knstruktionen Relevant?MFG
Blue_Moon
-
Aber wie dann auf den Standorten A und B in der pfsense genau vorgehen?
Inwiefern ist das gemeint? Was genau möchtest du denn via Freifunk routen und wie? Also "Pseudocode" gesprochen quasi. :)
Grüße
-
Ich möchte das Freifunknetzwerk von C auch auf den Standorten A und B haben.
Ich möchte dann das Freifunknetzwerk welches ja dann auf die pfsense´s von A und B trifft in ein VLAN Netzwerk "umwandeln" und dieses dann über das VLAN Switch an die VLAN AP´s bringen.
So dass ich dann Freifunk SSID´s an den Standorten A und B habe, worüber ich die Leute im Umkreis von ca 100m mit legalem , freien und kostenlosen WLAN versorgen möchte.
Wenn es zu undurchsichtig sein sollte, können wir auch sehr gerne telefonieren, wenn bedarf besteht.
MFG
blue_moon
-
Das lässt sich ohne weiteres IMHO nicht mit IPSec bauen.