Multiclienttunnel einrichten



  • Morgen zusammen,
    ich habe einen VPN-Server im Modus Peer to Peer ( Shared Key ) eingerichtet und möchte nun das sich drei ortsunabhängige VPN-Clients (auf einer pfSense) mit dem verbinden.

    Den Shared Key vom Server trage ich ja bei allen drei Clients ein, aber wie trage ich die drei IPs aus den Remotes-LAN unter Entfernte(s) IPv4 Netzwerk(e) ein?

    Die Remotes-LAN lauten:
    Standort A 192.168.1.0
    Standort B 192.168.2.0
    Standort C 192.168.13.0

    Besten Dank und alles gute für das heutige Spiel ;-)
    Achim



  • Hallo,

    der Shared Key Mode ist nicht für Multisite gedacht.
    Wir hatten das Thema vor Kurzem:
    https://forum.netgate.com/topic/132069/designfrage-zu-static-site2site-openvpn

    Entweder richtest du an einem der Standorte 2 VPN Shared Key Instanzen ein oder du verwendest den SSL/TLS Mode und konfigurierst auf der Serverseite Client Specific Overrides für die Clients.

    Bezüglich der Systemlast macht es kaum einen Unterschied, ob da ein Server mit zwei Verbindungen oder zwei Server laufen. SSL/TLS erfordert aber (je nach Shared Key-Länge) einen etwas höheren Crytographie-Aufwand.

    Grüße



  • Erst einmal Danke für Deine Antwort. So ganz klar ist es mir noch nicht.

    Zu den 2 VPN Shared Key Instanzen.

    Also würde ich am Standort A eine VPN Server mit Shared Key einrichten und Standort B den Client, der sich dann mit Standort A verbindet , anschließend Standort A oder B per Client mit dem Standort C ?

    Gruß



  • Ja, genau. Du möchtest 3 Standorte miteinander verbinden, dafür sind zumindest 2 Verbindungen nötig. Jede dieser hat 2 Endpunkte, also müssen sich auf einem der Standorte 2 Endpunkte befinden.
    Ob diese nun Server oder Clients sind ist völlig egal. Zu bedenken ist nur, dass der Client die Verbindung aktiv aufbaut, während der Server den Dienst ständig bereitstellt.
    Ein Client kann selbst also auch eine dynamische IP haben, der Server muss eine statische haben oder benötigt DynDNS.

    Mit der Option "Remote Network/s" und "Local Network/s" steuerst du das Routing über die VPN-Verbindungen. Wenn du also auf A je einen Server eingerichtet hast, mit dem sich B und C verbinden, ist bei B bei "Remote Network/s" "192.168.1.0/24,192.168.13.0/24" einzutragen (ich gehe davon aus, dass alles /24er Netze sind), und bei C "192.168.1.0/24,192.168.2.0/24". Auf A ist das jeweils passende von B bzw. C einzutragen. "Local Network/s" sollte selbsterklärend sein.

    Die Firewall Regeln auf den OpenVPN Interfaces müssen die Zugriffe natürlich erlauben.

    Grüße



  • okay besten dank, werde es mal so einrichten.
    Wenn jetzt noch ein Standort dazukommen würde könnte ich diesen dann als Client mit zb. B verbinden, auf dem ein VPN-Server läuft usw.

    coole Sache :-)



  • Wenn ein Standort dazu kommt, ist natürlich (mit Preshared Key) wieder ein zusätzlicher Server und Client nötig und die “Remote Network/s” müssen in sämtliche Konfiguration angepasst werden, damit sie auch das neue Netz erreichen.