Zwei pfsense Firewalls mit VPN verbinden, eine hinter Fritzbox



  • Hallo zusammen,

    ich habe zwei Standorte die ich gerne miteinander verbinden möchte. Zuhause bei mir (Standort A) habe ich eine pfsense Firewall die direkt die Internetverbinung etc. herstellt. Ich habe einen kleinen Büroraum gemietet (Standort B) und kann dort die bestehende Internetverbindung mitnutzen. Allerdings muss ich mich dann an eine bestehende Fritzbox hängen und auf diese habe ich keinen Zugriff. Daher würde ich gerne eine pfsense Firewall am Standort B einrichten damit erstmal mein dortiges LAN vom Rest abgetrennt ist. Und als zweites würde ich gerne das die pfsense am Standort B sich mit meiner pfsense am Standort A verbindet und das der gesammte Internetverkehr über VPN über den Internetanschluss am Standort A läuft.

    Kann mir mal einer sagen wie sich diese Konfigurationsart nennt damit ich mir entsprechende Guides anschauen kann? Gibt es da schon was ich mir anschauen kann?



  • Hallo,

    ich würde da eine OpenVPN Site-to-Site Verbindung einrichten.
    https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site

    Am Standort A der Server, auf B der Client. So benötigt die pfSense auf B nur eine ausgehende Verbindung und es ist auf der FB keine Konfig-Anpassung nötig.

    In der pfSense Konfiguration nennt sich das "Peer to Peer". Ich bevorzuge die SSL-Auth, eine Site-to-Site wird aber auch gerne als Preshared-Key eingerichtet.

    Um den gesamten Traffic von B über die VPN zu routen, in der Client Konfig bei "IPv4 Remote network(s)" 0.0.0.0/0 eintragen, bzw. ::/0 für IPv6, wenn nötig.
    Ansonsten kannst du dich an die Anleitung halten.


  • Moderator

    Kann mir mal einer sagen wie sich diese Konfigurationsart nennt damit ich mir entsprechende Guides anschauen kann? Gibt es da schon was ich mir anschauen kann?

    Wie Virago sagt, OpenVPN Site2Site machen und die Seite B hinter der FB spielt Client. Für den Zweck dass du Site2Site dann auch noch routen willst, wäre es auch sinnvoller OVPN via Preshared Key zu machen, ansonsten hat auch da Virago recht, dass man sonst gern SSL-based spricht. In dem Fall aber würde ich PSK vorziehen. Auf der Client Seite müsste es sogar ein Setting geben, um das Default GW auf den Tunnel zu legen, dann muss das remote Netz nicht mit 0.0.0.0 angegeben werden, da bin ich aber gerade da unterwegs gerade unschlüssig.

    Gruß