OpenVPN via FB > PFSense, bekannte Probleme?



  • Hallo,

    versuche mich mal kurzzufassen, sollte einfach zu beantworten sein.

    Aktueller Bestand:
    Habe in der Firma zwei ADSL Leitungen mit 16/2,5 Mbit, da es bisher nichts besseres gab. Die Hauptleitung hostet unseren Mailserver, OpenVPN für 3-4 Außendienste und noch 1-2 Kleinigkeiten und wird von PFSense direkt via PPPoE Modem angesprochen.

    Die andere Leitung ist von Vodafone, gleiche Geschwindigkeit, an welcher eine Fritzbox hängt und PFSense diese als Gateway nutzt (FB als Router, nicht als Modem). Darüber läuft der normale Internetverkehr und Offsitebackup in der Nacht. Hintergrund warum die Fritte direkt dran hängt und nicht auch via Modem ist, dass seitdem wir VoIP einsetzen "dürfen", die analogen Faxe und der Faxserver (verbunden mit SIP) via Telefonanlage einige Probleme gemacht haben. Daher via Rufnummernrouting usw. übernimmt das die FB, da die Verbindung/Emulation darüber in Verbindung mit Vodafone deutlich besser ist. Und wenn die FB direkt am DSL hängt, ist dann auch QoS/Traffic Shaping kein Thema, selbst wenn ich die Leitung mit vollem Up/Download auslaste - Faxe gehen trotzdem.

    Seit neustem können wir nun aber VDSL buchen - mit bis zu 100 Mbit. Da der Spaß bei der professionellen Leitung einen Aufpreis von 80 €/Monat bedeutet und bei Vodafone 10 €, möchte ich diesen Upgraden. Würde dann auch gerne das OpenVPN über den VDSL Anschluss laufen lassen.

    Daher zwei Ideen dazu:
    1. Aktueller Aufbau bleibt, PortForwarding von OpenVPN Port von FB auf PFSense. Sollte reichen oder? Kann es da Probleme geben bzw. gibt es bekannte Probleme?
    2. PFSense verbindet sich mit Modem via PPPoE, Fritte wandert hinter PFsense und PFSense wird in der Fritzbox als Router hinterlegt, SIP Verbindung kann ja trotzdem aufgebaut werden. Habe dabei dann aber die Befürchtung, dass die SIP Verbindungen Qualitativ abfallen können, da das Trafficshaping bei PFSense… nun ja, etwas speziell sein kann. Hatten da vorher einen VOIP Anschluss drüber laufen und trotz mehr als genug Reserve für Overhead usw. immer mal schlechte Verbindungen gegeben.

    Kleine Firma, daher basteln erlaubt bzw. nötig :)
    Wozu würdet ihr tendieren? Oder habt ihr eventuell sogar Erfahrungen damit sammeln können?



  • Hallo,

    1. OpenVPN hinter NAT dürfte kein Problem sein. Nutze ich gezwungendermaßen auch.
    2. Leider habe ich hier keine Erfahrung. Kann die FritzBox noch SIP, wenn sie als Internetverbindung ein bestehendes Netzwerk nutzt? Rein SIP technisch sollte das schon klappen. Wenn es eine Einschränkung gibt sehe ich das höchstens bei der FritzBox.



  • Hi,
    nutze Version 1.). Einfach den Port des/der OpenVPN-Instanz in der Fritte freigeben. Feste IP für die pfSense oder zumindest ausserhalb des DHCP-Range. Sollte auf der pfSense ein OpenVPN-Client laufen, ist nicht einmal das Portforwarding nötig.
    Version 2.) ist bedeutend aufwändiger, und, da Du für SIP zu viele "Löcher" in die Firewall bohren musst, eher nicht zu empfehlen.
    Gruss orcape



  • Ich habe hier mit 2 mal Homeoffice und Familienanschluss Variante 2 im Einsatz. Ich kann keine Qualitätseinschränkungen feststellen. Das kann aber auch an meinen schlechten Ohren oder der geringen Bandbreitenbelastung liegen.



  • Das kann aber auch an meinen schlechten Ohren oder der geringen Bandbreitenbelastung liegen.

    Es hat keiner behauptet, das diese Variante nicht funktioniert.



  • @orcape:

    Das kann aber auch an meinen schlechten Ohren oder der geringen Bandbreitenbelastung liegen.

    Es hat keiner behauptet, das diese Variante nicht funktioniert.

    Was willst du allso mit dem Beitrag erreichen? Stänkern?

    Es wurde gefragt:

    @Maerad:

    Oder habt ihr eventuell sogar Erfahrungen damit sammeln können?

    Und ich habe meine Erfahrung beigetragen. Es wurden Bedenken zu Qualität geäussert

    @Maerad:

    Hatten da vorher einen VOIP Anschluss drüber laufen und trotz mehr als genug Reserve für Overhead usw. immer mal schlechte Verbindungen gegeben.

    und ich habe gesagt das ich diese Bedenken nicht teile.



  • @ hbauer

    Was willst du allso mit dem Beitrag erreichen? Stänkern?

    Ich hoffe mal, Du hast Deine "Goldwaage" richtig tariert. Ansonsten solltest Du Deinen "Schlips" etwas kürzen, damit ich da nicht mehr drauf treten kann.
    Sorry, aber es fällt mir da nix mehr zu ein, zudem Du den Gag…

    Das kann aber auch an meinen schlechten Ohren oder der geringen Bandbreitenbelastung liegen.

    …ja selbst gepostet hast.
    Ich hatte nur bemerkt, das Variant1 die einfacher zu realisierende Lösung ist und Du nicht noch zusätzlich Löcher in die Firewall bohren musst.
    Letztlich muss der Threadersteller das sowieso für sich entscheiden.
    Gruss und einen schönen Tag...
    orcape


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy