4. VPN Konzept Site-2-Site

VPN Konzept Site-2-Site

  • D

    Hallo Zusammen
    Ich betreibe seit längerem einige pfsense musste aber mich noch nicht gross mit VPN Lösungen auseinander setzten, daher wäre ich froh um eure Hilfe und auch Korrektur wenn ich die momentane Lösung falsch angegangen bin.

    Für mich und ein paar andere Supporter habe ich ein openVPN Server aufgesetzt für den Zugriff von aussen.

    Jetzt kam aber noch die Anforderungen mehrere Standorte miteinander zu verbinden, daher habe ich ein iPsec Tunnel konfiguriert zwischen den Standorten.

    Standort A:
    192.168.20.0/24
    10.10.0.0/16
    Standort B:
    10.30.0.0/16

    Beim IPsec Tunnel unter P2 habe ich jetzt local Subnet 10.10.0.0/16 mit Remote Subnet 10.30.0.0/16 verbunden und auf der anderen Firewall in die andere Richtung.
    Wenn ich jetzt gerne noch das 192.168.20.0/24 Netzwerk vom Standort B erreichen möchte, muss ich für das eine weitere P2 Eintrag generieren.
    Finde es sehr aufwendig wenn jetzt eine Standort mehrere Subnet hat und ich für jedes Subnet auf beiden Firewalls mehrere P2 Einträge konfigurieren / pflegen muss.

    Eine weitere Frage ist, wie ich VPN Zugänge für Personen erstellen wo unterschiedliche Netzwerke erreichen dürfen.
    Administrator = 192.168.20.0/24 / 10.10.0.0/16
    Mitarbeiter = 192.168.20.0/24
    Gibt es da eine schöne Lösung, oder müsste man dies mit irgendwelchen externen RADIUS/AD Servern umsetzten?

    Vielen Dan für eure Hilfe

    Gruss

    0
    V
     1 Reply
  • LAYER 8 Rebel Alliance

    Hi,

    zu IPsec kann ich dir keine Antworten liefern, da ich selbst alles mit OpenVPN mache.
    Zu deiner OpenVPN RAS Frage kann ich dir aber sagen, dass du alles bis in das kleinste Detail über die Firewall Regeln steuern kannst.

    -Rico

    0
  • D

    Hallo Rico
    Vielen Dank für die schnelle Antwort

    Wie gehe ich das genau an? Ich müsste wohl den VPN Benutzern eine feste IP zuweisen können und Anhand der IP gesteuerte Firewall Regeln.
    Kleine Anleitung für Anfänger wäre toll =)

    Gruss

    0
  • LAYER 8 Rebel Alliance

    Im Prinzip genau so wie du es geschrieben hast.
    Unter VPN > OpenVPN > Client Specific Overrides kannst du pro Benutzer in der IPv4 Tunnel Network Box eine feste IP definieren und diese dann später in den Firewall Regeln benutzen.

    -Rico

    0
  • V

    Hi,

    @DarkMasta said in VPN Konzept Site-2-Site:

    Wenn ich jetzt gerne noch das 192.168.20.0/24 Netzwerk vom Standort B erreichen möchte, muss ich für das eine weitere P2 Eintrag generieren.
    Finde es sehr aufwendig wenn jetzt eine Standort mehrere Subnet hat und ich für jedes Subnet auf beiden Firewalls mehrere P2 Einträge konfigurieren / pflegen muss.

    das ist eben IPSec Design.
    Meist verwendet man ja auf einem Standort "benachbarte" Subnetze, wie 192.168.20.0/24, 192.168.21.0/24, usw., dann kann man diese ja auch zusammenfassen. Bspw. 192.168.20.0/21
    Heißt, es muss nicht tatsächlich für jedes Subnet eine Phase 2 eingerichtet werden und das angegebene Netzwerk in der Phase 2 muss nicht zwingend die vorhandenen Subnetze abdecken, kann auch größer sein. Phase 2 stellt einfach nur die VPN-Routen her.

    Wenn die OpenVPN Roadwarrior-Clients auch auf die IPs der anderen IPSec-Seite zugreifen können sollen, ist für das VPN-Tunnel Netz und den zu erreichenden Remote-Subnetzen auch eine Phase 2 erforderlich und das Pen­dant auf der anderen Seite.

    Grüße

    0
  • LAYER 8 Moderator

    @viragomann said in VPN Konzept Site-2-Site:

    Heißt, es muss nicht tatsächlich für jedes Subnet eine Phase 2 eingerichtet werden und das angegebene Netzwerk in der Phase 2 muss nicht zwingend die vorhandenen Subnetze abdecken, kann auch größer sein. Phase 2 stellt einfach nur die VPN-Routen her.

    Exakt. Deshalb wird bei der Netzplanung sowas häufig berücksichtigt, damit man die Routen besser zusammenfassen kann. Detailfilterung können dann die Firewall Regeln übernehmen, aber die Routen und P2s sind dann wesentlich einfacher.

    Gibt es da eine schöne Lösung, oder müsste man dies mit irgendwelchen externen RADIUS/AD Servern umsetzten?

    Jap. Eine schöne Lösung ist FreeRadius auf der pfSense zu nutzen. Dann kann - aber muss man nicht - zusätzlich Zertifikate nutzen. Oder eben nicht. CSO (Client specific Overrides) funktionieren aber leider nur mit Certs, Radius auf der Firewall kann aber auch IP/Subnetz pushen womit man direkt beim User schon die IP hinterlegen kann, die er bekommt.

    Wenn die OpenVPN Roadwarrior-Clients auch auf die IPs der anderen IPSec-Seite zugreifen können sollen, ist für das VPN-Tunnel Netz und den zu erreichenden Remote-Subnetzen auch eine Phase 2 erforderlich und das Pen­dant auf der anderen Seite.

    Ganz wichtiger Hinweis von @viragomann BTW. Wird immer wieder vergessen.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy