Designfrage zu static site2site OpenVPN



  • Servus,
    zentral einen Hauptstandort A, sternförmig daran angeschlossen via OpenVPN mehrere Standorte, die allesamt nur Ressourcen aus A nutzen sollen. A soll Zugriff auf die Subnetze der anderen Standorte haben. Untereinander kein Zugriff.

    Ich wäre nun her gegangen und hätte Standorten B-X einen OpenVPN-Server (alles pfSensen) eingerichtet und Standort A als Client eingerichtet. Remotenetze eingetragen und fertig.

    Designfrage: Server alle am Standort A konfigurieren, Standorte B-X also Clients oder Server auf B-X und
    A als Client?

    Danke & Grüße



  • Hallo,

    bei einer Site-to-site VPN ist es egal, welche Seite Server und welche Client ist, also Geschmacksache.
    Wenn die Verbindung mal weg ist, sollte ohnehin immer der Client automatisch den Reconnect versuchen.

    Ich hätte in deinem Fall am Standort A nur einen Server konfiguriert, mit dem sich sämtliche Clients verbinden. In diesem Fall benötigst du aber auf A für jeden Client einen CSO. SSL-Auth ist auch eine Voraussetzung dafür.
    Möchtest du es mit Preshared Key lösen, bleiben nur getrennte Server.

    Grüße



  • Servus,
    Danke für die Hilfe. Was ist denn CSO?



  • Hi!

    Client Specific Override
    Zu finden in VPN > OpenVPN

    Anhand dem, was du hier bei "Remote Netorks" einträgst, weiß der Server, welches Netz hinter welchem Client sitzt, was für dein Vorhaben für das korrekte Routing unabdinglich ist.

    Im Grunde kannst du hier sämtliche Optionen des Bereichs "Client Settings" der OpenVPN-Server-Einstellungen für jeden einzelnen Client überschreiben.

    Grüße



  • Funzt, danke!



  • Hallo,
    noch eine Anmerkung, der Server sollte auf der Seite sein, an der Du eine echte IP hast. Die Clients können dann immer noch durch Carrier Grade NAT (z.B. LTE) connected - z.B. wenn man mal einen Backup für eine tote Leitung braucht.
    Grüße


Log in to reply