Fritzbox VPN durch pfSense ablösen
-
Hallo zusammen,
ich habe zwei Standorte mit einer Fritzbox 6490 und einer 250 Mbit Leitung (Vodafone Kabel).
Laut Internet kommen die Fritzboxen beim VPN an ihre Grenzen, sodass ich beim Upload zwischen den Standorten nur max 15Mbit/s bekommen von 50 Mbit/s.
Daher würde ich jetzt gern die VPN Verbindung mit zwei pfSense VMs (VMware ESXi) herstellen.
Dazu habe ich ein paar Fragen. Bevor ich im engl. Bereich anfange, dachte ich, dass ich es erste einmal hier versuche.
Standort A: 192.168.1.0 / 24 -> FritzBox: 192.168.1.1
Standort A: 192.168.4.0 / 24 -> FritzBox: 192.168.4.1-
Muss ich für einen optimalen Betrieb, die pfSense als Gateway bei allen Clients definieren ?
Das würde bedeuten, dass die Fritzboxen eine neu IP erhalten und zusammen mit dem WAN Interface in einem eigenen Netz wären? -
Können WAN und LAN im gleiche Netzwerk sein?
So könnte ich die FBs weiter als Gateway betreiben. Im Falle einer ESX Störung würde der I-Net Zugriff weiter funktioniren -
Welcher VPN Typ wäre für diesen Anwendungsfall am besten?
Ich hoffe ich habe meinen Anwedungsfall einigermaßen gut dargestellt.
Vielen Dank schon einmal
-
-
@kuddel said in Fritzbox VPN durch pfSense ablösen:
Hallo zusammen,
ich habe zwei Standorte mit einer Fritzbox 6490 und einer 250 Mbit Leitung (Vodafone Kabel).
Laut Internet kommen die Fritzboxen beim VPN an ihre Grenzen, sodass ich beim Upload zwischen den Standorten nur max 15Mbit/s bekommen von 50 Mbit/s.
Daher würde ich jetzt gern die VPN Verbindung mit zwei pfSense VMs (VMware ESXi) herstellen.
Dazu habe ich ein paar Fragen. Bevor ich im engl. Bereich anfange, dachte ich, dass ich es erste einmal hier versuche.
Standort A: 192.168.1.0 / 24 -> FritzBox: 192.168.1.1
Standort A: 192.168.4.0 / 24 -> FritzBox: 192.168.4.1- Muss ich für einen optimalen Betrieb, die pfSense als Gateway bei allen Clients definieren ?
so mache ich das, ist auch einfacher
Das würde bedeuten, dass die Fritzboxen eine neu IP erhalten und zusammen mit dem WAN Interface in einem eigenen Netz wären?
richtig
- Können WAN und LAN im gleiche Netzwerk sein?
keine gute idee, im forum sind genug beispiele dazu warum man es nicht machen sollte
So könnte ich die FBs weiter als Gateway betreiben. Im Falle einer ESX Störung würde der I-Net Zugriff weiter funktioniren
im geschäftlichen bereich hat man doch immer 2 leitungen für den fall der fälle und auch die firewall ist redundant oder nicht (deshalb verstehe ich die frage gerade nicht)?
- Welcher VPN Typ wäre für diesen Anwendungsfall am besten?
ich persönlich tendiere im geschäftlichen bereich immer noch zu OpenVPN:
- ist einfach zu konfigurieren
- läuft stabil
du kannst auch ipsec nutzen
wireguard ist mir für den geschäftlichenbereich noch nicht ausgereift genug, da tendiere ich immer noch zu OpenVPN (das muss aber jeder für sich verantworten)
Ich hoffe ich habe meinen Anwedungsfall einigermaßen gut dargestellt.
Vielen Dank schon einmal
-
@micneu vielen Dank für deine Ausführungen.
Als Ergänzung noch. Es geht hier um eine private und nicht geschäftliche Umgebung
-
@kuddel das hattes du so nicht beschrieben, ich habe esxi gelesen und bin von geschäftlich ausgegangen.
-
@micneu jop stimmt. Asche auf mein Haupt.
Das hätte ich auf jeden Fall dazu schreiben sollen.
Aber dann weiß ich für morgen erstmal grob was zu tun ist.
Beide FritzBoxen bekommen eine neue IPs und die PfSense Interface ebenso.
Standort A
FritzBox: 192.168.1.1 -> 192.168.10.1
PfSense WAN: 192.168.1.171 -> 192.178.10.2
PfSense LAN: 192.168.1.172 -> 192.168.4.1Standort B:
FritzBox: 192.168.4.1 -> 192.168.40.1
PfSense WAN: 192.168.4.171 -> 192.168.40.2
PfSense LAN: 192.168.4.172 -> 192.168.4.1Bzgl. OpenVPN Site2Site wird es sicher bei Youtube gute Videos geben.
-
@kuddel meine empfehlung, nimm nicht die .178.
nimm einfach einen anderen ip bereich, macht es einfacher wenn du vieleich eine weitere fritzbox anbinden willst oder was auch immer. ich hatte mal einen beitrag geschrieben (im opnsense forum) https://forum.opnsense.org/index.php?topic=12697.0 -
@micneu ja das Problem mit 192.168.178.0 ist mir bereits aufgefallen, als ich die beiden Fritzboxe per Onboard VPN verbunden haben. Mit dem Netz geht es einfach nicht. Daher ich bin ich dann direkt auf 192.168.1. und 192.168.4.0 gewechselt.
Ich habe heute morgen mit Standort B angefangen und die IPs geändert.
Leider komme ich dann mit den Clients nicht ins internet.
Ping sagt "Die Gültigkeitsdauer wurde bei der Übertragung überschritten"
Muss ich auf der pfSense noch Routen oder Firewall Regeln erstellen?
-
@kuddel said in Fritzbox VPN durch pfSense ablösen:
Standort A
FritzBox: 192.168.1.1 -> 192.168.10.1
PfSense WAN: 192.168.1.171 -> 192.178.10.2
PfSense LAN: 192.168.1.172 -> 192.168.4.1
Standort B:
FritzBox: 192.168.4.1 -> 192.168.40.1
PfSense WAN: 192.168.4.171 -> 192.168.40.2
PfSense LAN: 192.168.4.172 -> 192.168.4.1Da ist ein Fehler drin, es dürfen ja nicht beide Sensen auf beiden Seiten im LAN mit .4.1 stehen, ein LAN sollte da schon .1.x und das andere .4.x sein ;) Sonst klappt da ja ganz sicher was nicht :)
-
@kuddel said in Fritzbox VPN durch pfSense ablösen:
Muss ich auf der pfSense noch Routen oder Firewall Regeln erstellen?
Kommt drauf an was du gemacht hast. Wenn die pfSense sauber neu installatiert wurde und WAN mit 192.168.10.2 mit GW auf die 1 und das LAN mit 192.168.1.1 und /24 konfiguriert wurde, so dass die Clients da wie vorher funktionieren (.1.xer Adresse und .1.1 als GW und DNS) sollte per se erstmal alles mit den pfSense Default Settings funktionieren. Voraussetzung natürlich, dass die pfSense selbst ordentlich funktioniert hinter der Fritzbox und sauber Internet hat und auch NAT und DNS sowie DHCP laufen.
Cheers
-
@jegr said in Fritzbox VPN durch pfSense ablösen:
Da ist ein Fehler drin, es dürfen ja nicht beide Sensen auf beiden Seiten im LAN mit .4.1 stehen, ein LAN sollte da schon .1.x und das andere .4.x sein ;) Sonst klappt da ja ganz sicher was nicht :)
Klassicher Fall von Copy & Paste Fehler.
-
@kuddel OK ;) Ich frage nur nach weil sich solche Sachen natürlich auch gern mal beim Tippen einschleichen und schon hat man beide Seiten gleich konfiguriert statt mit den lokalen Adressen. :)
-
@jegr said in Fritzbox VPN durch pfSense ablösen:
Kommt drauf an was du gemacht hast. Wenn die pfSense sauber neu installatiert wurde und WAN mit 192.168.10.2 mit GW auf die 1 und das LAN mit 192.168.1.1 und /24 konfiguriert wurde, so dass die Clients da wie vorher funktionieren (.1.xer Adresse und .1.1 als GW und DNS) sollte per se erstmal alles mit den pfSense Default Settings funktionieren. Voraussetzung natürlich, dass die pfSense selbst ordentlich funktioniert hinter der Fritzbox und sauber Internet hat und auch NAT und DNS sowie DHCP laufen.
Cheers
Es lag an den FW Rules.
Danke
-
@jegr also das VPN funzt jetzt so weit.
Besteht jetzt noch die Möglichkeit die "fremde" Fritzbox über VPN zu erreichen?
Sprich:
192.168.4.160 -> 192.168.4.1 -> VPN -> 192.168.1.1 -> 192.168.10.1
-
Ja du kannst auch die generische Fritz über VPN erreichen.
Ich nutze hier IPsec IKEv2 für die pfSense zu pfSense Kopplung und habe die Fritz dann als Client im LAN.
Eine mit einem Bein (Eltern) und bei mir mit 2 LAN Verbindungen (WAN über LAN 1 und LAN im PV Netz über LAN2). Warum, weil nur so die FritzPhone App auch über VPN hinweg funktioniert, was ich wollte.Ich habe auf beiden Seiten ein Cabel Modem davor, welches unter der 192.168.100.1 erreichbar ist.
Auf meiner Seite kann ich das direkt erreichen, für das Modem auf der Gegenseite (Eltern) musste dann halt NAT her, so das ich von hier aus über die 192.168.101.1 dran komme. Das musste dann bei IPsec mit in die P2 rein, auf der Gegenseite erfolgt dann in P2 das NAT auf die real IP.Das sollte sich bei dir auch realisieren lassen, wenn du denn die native IP der Fritz oder das Netz in den Tunnel auf nimmst.
Ich habe hier ein /19 im Einsatz und bei meinen Eltern ein /21.
So könntest du dir ein kleines Supernetz aussuchen und dann das Fritz - Sense Transfernetz mit in das Supernetz rein legen und musst dann nur ein /21 in den VPN Tunnel routen.Ich bin hier mit IPsec sehr zufrieden, von pfSense zu pfSense läuft das einfach.
Vorteil ist halt der Speed, zbw. mit Hardware Unterstützung benötigt das kaum Ressourcen für den vollen Upload, 50MBit in meinem Fall. -
@nocling okay, das hört sich erst einmal gut an. Ich bräuchte dann aber doch noch ein wenig Hilfe.
Ich habe beide pfSense per OpenVPN verbunden.
Auf meiner Seite habe ich jetzt bei Remote Netzwerk 192.168.1.0/21 eingestellt und auf der anderen Seite im OpenVPN Client bei Remote Netzwerk 192.168.4.0/21
Was muss ich jetzt auf meiner Seite genau bzgl. NAT einstellen?
-
@kuddel said in Fritzbox VPN durch pfSense ablösen:
Auf meiner Seite habe ich jetzt bei Remote Netzwerk 192.168.1.0/21 eingestellt und auf der anderen Seite im OpenVPN Client bei Remote Netzwerk 192.168.4.0/21
Warum denn /21 auf BEIDEN Seiten? Das überlappt sich doch! Das sollten /24er sein :)
-
Schaue lieber noch mal in einem Netzrechner vorbei und schaue was du mit der Subnetmask beinflussen kannst.
So ist ein /21 dann ein Supernetz und besteht aus 8 einzelnen /24er Netzen.
