pfSense und IPv6: OpenVPN, Rules, Routes usw...
-
@mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
ionos bietet übrigens eine mini v-Server für 1 € im Monat an, inkl. eine IPv4 und IPv6 Adresse. Gleich mal gebucht, für ne Kiste Bier ein Jahr lang ne public IPv4. :)
Kann man da pfSense drauf installieren oder ist man auf die Vorgaben auf der Produkt-Seite begrenzt? Und wie sieht es mit dem Traffic aus? :)
@jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
Völlig egal.
Dir vielleicht, aber es muss ja noch entsprechend konfiguriert werden.
Außerdem, nehmen wir mal an, der vServer mit z.B. Debian soll mittels OpenVPN fast allen eingehenden Traffic an eine pfSense @ home weiterleiten, wie würde man diese Funktionalität nennen? Portmapper passt nicht mehr, weil es nicht nur einzelne Ports sein sollen? Nehmen wir außerdem an, dass etwas auf dem Debian noch gehostet wird, was dann natürlich nicht weiter an die pfSense geleitet werden soll.
-
@bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
Kann man da pfSense drauf installieren oder ist man auf die Vorgaben auf der Produkt-Seite begrenzt? Und wie sieht es mit dem Traffic aus? :)
Keine Ahnung, ich hab von https://www.hetzner.com/cloud ein paar CX11. Das sind ja schon virtuelle Instanzen (QEMU/KVM) auf ner potenten Hardware (Skylake Xeon). Reicht mir dicke. Und kann ich hoch/runterskalieren wie ich will :) Das Cloud Dashboard ist da wesentlich mächtiger als das ganze alte Konsole Geraffels was man früher hatte. Vor allem haben die gleich 20GB SSD und 2GB RAM und fangen nicht mit so Murks wie 512MB RAM an. Verstehe nicht warum das 2021 noch so ein Ding ist, mit nem halben Gigabyte RAM rumzukaspern. Aber ist eben 1&1 ;) Zumal man 2€ mehr zahlen soll (3€ also) für 1GB RAM. Was denn das für ne Rechnung? :D
Ich hab da jetzt auf die Schnelle nichts gesehen, wo man eine Konsole bekommt um selbst was installieren zu können. Wenns da nix gibt, wirst du auch nichts anderes drauf bekommen als das was die automatisch deployen - also Linux.
Bei Hetzner bekommst du das Standard Deployment auch mit Linux, kannst danach dann aber im Dashboard ein ISO auswählen das gebootet wird (wo es pfSense und OPNsense bereits gibt!) - das auswählen, reboot einleiten und dann entspannt mit HTML5 Konsole einfach installieren worauf man Lust hat. So ging auch Proxmox aber das ist dann wegen dem IP Setup eher nicht sooo superlustig ;)
Dir vielleicht, aber es muss ja noch entsprechend konfiguriert werden.
OpenVPN Server Konfiguration braucht man nur einmal. Wo man die erstellt - völlig egal wie beschrieben. Da kann ich dann auch die pfSense Installations CFG nehmen und auf nem Linux System reinwerfen und starten, das verhält sich genauso.
Außerdem, nehmen wir mal an, der vServer mit z.B. Debian soll mittels OpenVPN fast allen eingehenden Traffic an eine pfSense @ home weiterleiten
Was heißt denn jetzt "fast alles"?
Wie würde man diese Funktionalität nennen?
IP Forwarding wie auch Linux selbst die Funktion nennt?
Dersysctlcall für Routing, der benötigt wird wenn ein Linux System anfängt zu routen und Traffic zu forwarden heißt ja nicht umsonstnet.ipv4.ip_forward=1Nehmen wir außerdem an, dass etwas auf dem Debian noch gehostet wird, was dann natürlich nicht weiter an die pfSense geleitet werden soll.
Dann leitest du auch nicht "alles" oder "fast alles" weiter. Dann leite ich einfach das weiter was ich haben will an Ports. Man kann eben nicht alles haben, à la ich leite alles weiter aber dann eben doch nicht gaaanz alles. Wenn du das mit IPTables oder %wasauchimmer% machst auf nem Debian (IPTables oder NFTables dann wahrscheinlich, ggf. mit Aufsatz wie UFW o.ä.) bin ich mir gerade unschlüssig, ob die sowas wie BINAT so einfach machen (können). Dazu bin ich zu lang aus dem IPtables Kram raus. Aber dann kommt es auch auf deinen Einsatzzweck an: wenn dann auf dem VPS noch der halbe Serverkram läuft und dies und das und Ananas, dann mach ich da kein VPN drüber, dessen Ziel es ist die IP4 für mich daheim zu haben
Irgendwo ist multi-purpose zwar nett, aber dann muss man eben Abstriche machen - oder du kaufst dir noch ne IP4 dazu wenns geht :) Dann kannste dir die auch komplett krallen und dein LAN drüber abwickeln 
Portmapper passt nicht mehr, weil es nicht nur einzelne Ports sein sollen?
Nein, Portmapper ist EIN DIENST/Service der GENAU so heißt und deshalb sollte man den Ausdruck schlicht nicht verwenden im Zusammenspiel mit "ich will XYZ auf Linux mit Portmapper bla". Denn dann wird jemand, der sich mit Linux Systemen und dem Portmapper auskennt auf dem völlig falschen Gleis sein. Zudem "mappst" du keine Ports. Du klebst die nicht irgendwo drauf. Mapping wäre bspw. das X-zu-Y Portmapping von Docker, wo du vom Dockerhost in den Container rein einen Port mapst, bei dem aber verschiedene Ports im Spiel sein können (8001 auf den Container Namespace auf Port 80 bspw.) Du leitest sie aber weiter (meist auf ein anderes System). Weshalb das auch bei den Sensen Port Forwarding heißt. Oder eben in altem Jargon bzw. IPTables und Co Syntax "Masquerading".
Darum redet man einfachsten von Weiterleiten oder weniger oft auch routen von Ports aber im Kontext IP/Weiterleitung nicht von mappings.
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
Es würde quasi ein exposed host benötigt werden, alles, was aktuell nicht gebraucht wir, durchleiten.
-
@bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
Es würde quasi ein exposed host benötigt werden, alles, was aktuell nicht gebraucht wir, durchleiten.
Jup deshalb fände ich eine pfSense auf dem VPS auch gar nicht verkehrt ;) Im Gegensatz zu IPTables was ich gerade nicht weiß ists bei PF eben recht einfach nen BINAT zu machen und danach dann einzelne Ports doch nicht durchzumappen bzw. mit vorgeschalteten Forwards doch noch abzugreifen und auf localhost zu schieben.
Geht sicher mit irgendeinem komischen Gedöns bei IPtables auch, aber wie gesagt steck ich gerade nicht wirklich drin :)
-
@jegr Hab mal gerade unter meinem heiß geliebten Windows geguckt, da habe ich es aber auch nur für einzelne Ports gefunden und nicht für alles oder den Rest.
-
@bob-dig Windows direkt ans Netz? Jaaaa.... NEEEE
-
@jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
Vor allem haben die gleich 20GB SSD und 2GB RAM und fangen nicht mit so Murks wie 512MB RAM an. Verstehe nicht warum das 2021 noch so ein Ding ist, mit nem halben Gigabyte RAM rumzukaspern. Aber ist eben 1&1 ;) Zumal man 2€ mehr zahlen soll (3€ also) für 1GB RAM. Was denn das für ne Rechnung? :D
Für ne pfSense Installation ist das echt mager, gebe ich Dir Recht. Aber ein bissl routen, alles durchschieben oder ne OpenVPN Instanz, das braucht nicht die Welt an RAM...
Und wenn das ein Schuss in den Ofen ist und nicht reicht, habe ich 12 Euro versengt...für ein Jahr. Bricht mir nicht das Genick und ein Versuch war es Wert.
Man legt im Idealfall auch nur einmal die Hand an, das wars.
-
@mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
Für ne pfSense Installation ist das echt mager, gebe ich Dir Recht. Aber ein bissl routen, alles durchschieben oder ne OpenVPN Instanz, das braucht nicht die Welt an RAM...
Nö aber RAM ist so ein Ding, was man NIE zu wenig und NIE zu viel haben kann :) Ne CPU langweilt sich. RAM braucht man immer :D
Wie gesagt mit iptables kann man viel Schweinereien machen, mich würde wundern, wenn man nicht einfach dreckig alle Ports der IP weiterschieben kann. Aber wie es im Einzelnen geht, müsste man nachlesen. Wichtiger war mir erstmal OVPN Server Konfig zu haben und meine Seite dann so zu haben, dass alles geht. Wenn man dann den Server tauscht muss man nur an einer Stelle suchen und drehen - dem VPS - und nicht an beiden Seiten nochmal rumsuchen. :)
-
Das stimmt, RAM ist grundsätzlich zu wenig. :)
Zum Thema OpenVPN, besser die Sense @home als Server betreiben? Oder den Server auf der VPS? Bin mir da nicht sooo sicher. Ersteres wäre einfacher...
Eine 2te v6 only OVPN Instanz auf der Sense starten, Client exportieren und auf dem vps importieren, IPv4 durch den Tunnel routen, fettisch.
Übrigens ist es kein Problem , Ipv4 komplett durchzuleiten. kannst ja immer noch per v6 eine ssh Verbindung aufbauen. Ob das aber ne saubere Lösung ist, müsst ihr was dazu sagen.
-
@mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
Zum Thema OpenVPN, besser die Sense @home als Server betreiben? Oder den Server auf der VPS? Bin mir da nicht sooo sicher. Ersteres wäre einfacher...
Prinzipiell egal aber ich würde eher ein RZ System zum Server machen als deins zu Hause. Das läuft eher "durch" und konstant als deins.
@mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:
Übrigens ist es kein Problem , Ipv4 komplett durchzuleiten. kannst ja immer noch per v6 eine ssh Verbindung aufbauen. Ob das aber ne saubere Lösung ist, müsst ihr was dazu sagen.
Das ist gar nicht mein Problem, sondern dass ich nicht weiß ob/wie die dazugehörige Syntax in iptables aussehen würde ;) Daher sag ich ja, je nachdem was als Filter auf dem VPS läuft, kann das gehen oder eher weniger gut.
Und ob Server oder Client ist jetzt nicht soo schwierig, so unterschiedlich sind die nicht konfiguriert.
-
Mehr zum Test hier https://forum.netgate.com/topic/160001/public-ipv4-ipv6-via-vpn-tunnel
