VPN Konzept Site-2-Site



  • Hallo Zusammen
    Ich betreibe seit längerem einige pfsense musste aber mich noch nicht gross mit VPN Lösungen auseinander setzten, daher wäre ich froh um eure Hilfe und auch Korrektur wenn ich die momentane Lösung falsch angegangen bin.

    Für mich und ein paar andere Supporter habe ich ein openVPN Server aufgesetzt für den Zugriff von aussen.

    Jetzt kam aber noch die Anforderungen mehrere Standorte miteinander zu verbinden, daher habe ich ein iPsec Tunnel konfiguriert zwischen den Standorten.

    Standort A:
    192.168.20.0/24
    10.10.0.0/16
    Standort B:
    10.30.0.0/16

    Beim IPsec Tunnel unter P2 habe ich jetzt local Subnet 10.10.0.0/16 mit Remote Subnet 10.30.0.0/16 verbunden und auf der anderen Firewall in die andere Richtung.
    Wenn ich jetzt gerne noch das 192.168.20.0/24 Netzwerk vom Standort B erreichen möchte, muss ich für das eine weitere P2 Eintrag generieren.
    Finde es sehr aufwendig wenn jetzt eine Standort mehrere Subnet hat und ich für jedes Subnet auf beiden Firewalls mehrere P2 Einträge konfigurieren / pflegen muss.

    Eine weitere Frage ist, wie ich VPN Zugänge für Personen erstellen wo unterschiedliche Netzwerke erreichen dürfen.
    Administrator = 192.168.20.0/24 / 10.10.0.0/16
    Mitarbeiter = 192.168.20.0/24
    Gibt es da eine schöne Lösung, oder müsste man dies mit irgendwelchen externen RADIUS/AD Servern umsetzten?

    Vielen Dan für eure Hilfe

    Gruss


  • LAYER 8 Rebel Alliance

    Hi,

    zu IPsec kann ich dir keine Antworten liefern, da ich selbst alles mit OpenVPN mache.
    Zu deiner OpenVPN RAS Frage kann ich dir aber sagen, dass du alles bis in das kleinste Detail über die Firewall Regeln steuern kannst.

    -Rico



  • Hallo Rico
    Vielen Dank für die schnelle Antwort

    Wie gehe ich das genau an? Ich müsste wohl den VPN Benutzern eine feste IP zuweisen können und Anhand der IP gesteuerte Firewall Regeln.
    Kleine Anleitung für Anfänger wäre toll =)

    Gruss


  • LAYER 8 Rebel Alliance

    Im Prinzip genau so wie du es geschrieben hast.
    Unter VPN > OpenVPN > Client Specific Overrides kannst du pro Benutzer in der IPv4 Tunnel Network Box eine feste IP definieren und diese dann später in den Firewall Regeln benutzen.

    -Rico



  • Hi,

    @DarkMasta said in VPN Konzept Site-2-Site:

    Wenn ich jetzt gerne noch das 192.168.20.0/24 Netzwerk vom Standort B erreichen möchte, muss ich für das eine weitere P2 Eintrag generieren.
    Finde es sehr aufwendig wenn jetzt eine Standort mehrere Subnet hat und ich für jedes Subnet auf beiden Firewalls mehrere P2 Einträge konfigurieren / pflegen muss.

    das ist eben IPSec Design.
    Meist verwendet man ja auf einem Standort "benachbarte" Subnetze, wie 192.168.20.0/24, 192.168.21.0/24, usw., dann kann man diese ja auch zusammenfassen. Bspw. 192.168.20.0/21
    Heißt, es muss nicht tatsächlich für jedes Subnet eine Phase 2 eingerichtet werden und das angegebene Netzwerk in der Phase 2 muss nicht zwingend die vorhandenen Subnetze abdecken, kann auch größer sein. Phase 2 stellt einfach nur die VPN-Routen her.

    Wenn die OpenVPN Roadwarrior-Clients auch auf die IPs der anderen IPSec-Seite zugreifen können sollen, ist für das VPN-Tunnel Netz und den zu erreichenden Remote-Subnetzen auch eine Phase 2 erforderlich und das Pen­dant auf der anderen Seite.

    Grüße


Log in to reply