Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN Konzept Site-2-Site

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 4 Posters 707 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DarkMasta
      last edited by

      Hallo Zusammen
      Ich betreibe seit längerem einige pfsense musste aber mich noch nicht gross mit VPN Lösungen auseinander setzten, daher wäre ich froh um eure Hilfe und auch Korrektur wenn ich die momentane Lösung falsch angegangen bin.

      Für mich und ein paar andere Supporter habe ich ein openVPN Server aufgesetzt für den Zugriff von aussen.

      Jetzt kam aber noch die Anforderungen mehrere Standorte miteinander zu verbinden, daher habe ich ein iPsec Tunnel konfiguriert zwischen den Standorten.

      Standort A:
      192.168.20.0/24
      10.10.0.0/16
      Standort B:
      10.30.0.0/16

      Beim IPsec Tunnel unter P2 habe ich jetzt local Subnet 10.10.0.0/16 mit Remote Subnet 10.30.0.0/16 verbunden und auf der anderen Firewall in die andere Richtung.
      Wenn ich jetzt gerne noch das 192.168.20.0/24 Netzwerk vom Standort B erreichen möchte, muss ich für das eine weitere P2 Eintrag generieren.
      Finde es sehr aufwendig wenn jetzt eine Standort mehrere Subnet hat und ich für jedes Subnet auf beiden Firewalls mehrere P2 Einträge konfigurieren / pflegen muss.

      Eine weitere Frage ist, wie ich VPN Zugänge für Personen erstellen wo unterschiedliche Netzwerke erreichen dürfen.
      Administrator = 192.168.20.0/24 / 10.10.0.0/16
      Mitarbeiter = 192.168.20.0/24
      Gibt es da eine schöne Lösung, oder müsste man dies mit irgendwelchen externen RADIUS/AD Servern umsetzten?

      Vielen Dan für eure Hilfe

      Gruss

      V 1 Reply Last reply Reply Quote 0
      • RicoR
        Rico LAYER 8 Rebel Alliance
        last edited by Rico

        Hi,

        zu IPsec kann ich dir keine Antworten liefern, da ich selbst alles mit OpenVPN mache.
        Zu deiner OpenVPN RAS Frage kann ich dir aber sagen, dass du alles bis in das kleinste Detail über die Firewall Regeln steuern kannst.

        -Rico

        1 Reply Last reply Reply Quote 0
        • D
          DarkMasta
          last edited by

          Hallo Rico
          Vielen Dank für die schnelle Antwort

          Wie gehe ich das genau an? Ich müsste wohl den VPN Benutzern eine feste IP zuweisen können und Anhand der IP gesteuerte Firewall Regeln.
          Kleine Anleitung für Anfänger wäre toll =)

          Gruss

          1 Reply Last reply Reply Quote 0
          • RicoR
            Rico LAYER 8 Rebel Alliance
            last edited by

            Im Prinzip genau so wie du es geschrieben hast.
            Unter VPN > OpenVPN > Client Specific Overrides kannst du pro Benutzer in der IPv4 Tunnel Network Box eine feste IP definieren und diese dann später in den Firewall Regeln benutzen.

            -Rico

            1 Reply Last reply Reply Quote 0
            • V
              viragomann @DarkMasta
              last edited by

              Hi,

              @DarkMasta said in VPN Konzept Site-2-Site:

              Wenn ich jetzt gerne noch das 192.168.20.0/24 Netzwerk vom Standort B erreichen möchte, muss ich für das eine weitere P2 Eintrag generieren.
              Finde es sehr aufwendig wenn jetzt eine Standort mehrere Subnet hat und ich für jedes Subnet auf beiden Firewalls mehrere P2 Einträge konfigurieren / pflegen muss.

              das ist eben IPSec Design.
              Meist verwendet man ja auf einem Standort "benachbarte" Subnetze, wie 192.168.20.0/24, 192.168.21.0/24, usw., dann kann man diese ja auch zusammenfassen. Bspw. 192.168.20.0/21
              Heißt, es muss nicht tatsächlich für jedes Subnet eine Phase 2 eingerichtet werden und das angegebene Netzwerk in der Phase 2 muss nicht zwingend die vorhandenen Subnetze abdecken, kann auch größer sein. Phase 2 stellt einfach nur die VPN-Routen her.

              Wenn die OpenVPN Roadwarrior-Clients auch auf die IPs der anderen IPSec-Seite zugreifen können sollen, ist für das VPN-Tunnel Netz und den zu erreichenden Remote-Subnetzen auch eine Phase 2 erforderlich und das Pen­dant auf der anderen Seite.

              Grüße

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                @viragomann said in VPN Konzept Site-2-Site:

                Heißt, es muss nicht tatsächlich für jedes Subnet eine Phase 2 eingerichtet werden und das angegebene Netzwerk in der Phase 2 muss nicht zwingend die vorhandenen Subnetze abdecken, kann auch größer sein. Phase 2 stellt einfach nur die VPN-Routen her.

                Exakt. Deshalb wird bei der Netzplanung sowas häufig berücksichtigt, damit man die Routen besser zusammenfassen kann. Detailfilterung können dann die Firewall Regeln übernehmen, aber die Routen und P2s sind dann wesentlich einfacher.

                Gibt es da eine schöne Lösung, oder müsste man dies mit irgendwelchen externen RADIUS/AD Servern umsetzten?

                Jap. Eine schöne Lösung ist FreeRadius auf der pfSense zu nutzen. Dann kann - aber muss man nicht - zusätzlich Zertifikate nutzen. Oder eben nicht. CSO (Client specific Overrides) funktionieren aber leider nur mit Certs, Radius auf der Firewall kann aber auch IP/Subnetz pushen womit man direkt beim User schon die IP hinterlegen kann, die er bekommt.

                Wenn die OpenVPN Roadwarrior-Clients auch auf die IPs der anderen IPSec-Seite zugreifen können sollen, ist für das VPN-Tunnel Netz und den zu erreichenden Remote-Subnetzen auch eine Phase 2 erforderlich und das Pen­dant auf der anderen Seite.

                Ganz wichtiger Hinweis von @viragomann BTW. Wird immer wieder vergessen.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.