openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen

noplan

openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen

also box a und box b via openVPN verbinden
und trotzdem sowohl auf box a und auch auf box B usern noch die möglichkeit sich auf
die netzwerke dahinter zu verbinden

jemand ne schnelle idee ;)

Rico

Was ist jetzt die konkrete Frage, bzw. Problem?
Du kannst unter pfSense so viele OpenVPN Server und/oder Client Instanzen in verschiedenen Modi starten wie du möchtest.

-Rico

noplan

@rico

macht es sinn alles auf 1 server laufen zu lassen

oder sollte man das trennen ergo zB 1194 die road warriors und die direkt auf 1195
der box solange genug CPU und RAM vorahnden wirds egal sein, irgendwann wird halt die Leitung der Flaschenhals.

danke & LG NP

Rico

Mit Server meinst du OpenVPN Instanz? Dann ja, auf jeden Fall trennen, sind ja sowieso unterschiedliche Server modes.

-Rico

viragomann

@noplan
Möglich sind hier alle Varianten, auch dass User auf Geräte beider Seiten zugreifen können, gleichgültig mit welcher Box sie verbunden sind.
Die Frage ist erst mal, was du haben möchtest.

CPU und RAM wird grundsätzlich je Verbindung verbraucht nicht je Instanz.

noplan

@viragomann

uiee das mit den usern hab ich ja fast schon befürchtet ...
wäre ein "nice to have" soweit ich das bis jetzt verstanden habe

sollen sich die beiden boxen "nur" via openVPN verbinden und sonst nix
zeitgleich sollen sich ungehindert VPNuser anmelden können.

Meine Vermutung,
irgendein admin will ohne VPN anmeldung von box A auf webGui von box B

huiii sachen gibts .... ich geh mir mal einen Punsch hoHoho len

NOCling

Ob jetzt openVPN oder IPSec, das ist doch das gleiche Prinzip.

Hängt dann vom Regelwerk und den Routen ab.

Du brauchst einfach auf jeder Seite ein /23 als Minimum und das muss jeweils durch den S2S Tunnel durch.
Dann kannst du über Regelwerk steuern wer sich von welcher Seite wohin weiter tunneln darf.

Beispiel, ich habe hier 2 S2S Tunnel, zu meinen Eltern und den Schwiegereltern.
Wenn ich mich mit dem VPN verbinde, kann ich auch in die anderen beiden Netzte rein.
Jedenfalls könnte ich, wenn ich auf letztem mein Netz vollständig eingetragen hätte.

Das Aufwändigste ist jedoch jedem User definiertes Regelwerk für die entsprechenden Zugänge zukommen zu lassen.
Vor allem wenn du hier nicht wenige Gruppen sondern jede menge Sonderwürste hast.

JeGr

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

macht es sinn alles auf 1 server laufen zu lassen

Nö. Willst du nicht.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

oder sollte man das trennen ergo zB 1194 die road warriors und die direkt auf 1195

Auf welchem Port ist Rille. Da Clients / User oftmals empfindlicher sind was Ports angeht, würde ich eher den Tunnel auf nen alternativen Port packen oder per IPSec machen je nachdem was der können muss.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

huiii sachen gibts .... ich geh mir mal einen Punsch hoHoho len

Ist jetzt wirklich kein abgefahrener Wunsch sondern eher Standard. Einwahl will man meist so nah am Client wie möglich und dann eben die Standort Verbindung nutzen die meist dicker ist um nicht unnötig 2x per VPN eingewählt zu sein (was gehen würde BTW - ein Client kann mehrere OVPN Client Zugriffe gleichzeitig fahren). Normales Standardsetup.

Je nachdem wie komplex das Routing ist oder die Netze auf den Seiten aussehen nimmt man eben IPsec um Ressourcen zu schonen oder OVPN fürn Tunnel und ein OVPN für die RWs auf beiden Seiten. Sauber disjunkte Netze überall und es klappt alles auch im Routing.

@nocling said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

Du brauchst einfach auf jeder Seite ein /23 als Minimum und das muss jeweils durch den S2S Tunnel durch.

Das kann ich so nicht stehen lassen. Brauchen tust du erstmal gar keine Netzgröße, sondern einfach sauber getrennte Netze auf jeder Seite, egal ob für die LAN(s) oder das VPN Einwahlnetz was du mit OVPN machst. Alles andere ist Routingsache. Ob via OVPN oder IPSec.

Man KANN sich das natürlich recht angenehm/einfach machen, wenn man das vorab schonmal ordentlich und gut geplant hat und saubere Netzwerkarchitektur für Zentrale, Außenstellen o.ä. gemacht hat. Jap. Hab ich ja oft genug an verschiedenen Stellen gepredigt. Wenn jede Seite bspw. ihren groben /16 oder /20 Bereich hat, in dem sie diverse /24er vergeben hat für diverse Zwecke und da das OVPN Einwahlnetz auch eines davon ist:

• LAN A: 172.21.1.0/24
• MGMT A: 172.21.0.0/24
• WLAN A: 172.21.2.0/24
• VPN A: 172.21.15.0/24

=> Seite A: 172.21.0.0/20
=> Seite B: 172.21.16.0/20

Wenn man sowas also ordentlich geplant hat, dann kann man das Site2Site VPN easy zusammenfassen, indem man auf beiden Seiten bspw. IPSec mit EINER Phase 2 und dem /20 Subnetz macht und gut ist. Den Rest regelt man auf beiden Seiten eingehend auf dem IPSEC Interface und filtert dort, was überhaupt erlaubt ist und was nicht (nix mit "any any * * *" o.ä.)

Damit auch easy erweiterbar mit weiteren Netzen.

Done. Ende. Boop.