Zwei getrennte VPN Zugänge via versch. Provider

viragomann

@mpatzwah
Meine Annahme war, die beiden Provider Netze sind auf deiner (Client) Seite.

via VPN (Vodafone) erhalte ich auf dem Client:

Wie stellst du die Verbindung auf die andere IP her? Hast du eine eigene Client Konfig?

Wie ist das auf Server-Seite eingerichtet, dass der OpenVPN Server auf beide WAN IPs lauscht?

a, kann mann zwei VPN Tunnel in die gleiche Firma via zwei Provider und zwei feste IP Adressen setzen.

Ja, aber nicht gleichzeitig, jedenfalls macht es keinen Sinn. Gleichzeitig auf denselben Server ist jedenfalls nicht möglich.

Woher weiß netgate durch welchen Provider die VPN Pakete zurückgeschickt werden? Denn es bringt mir ja nix, wenn ich zwar getrennt rein gehen kann, aber immer der gleiche Rückweg (bei mir Telekom) genommen wird.

Wenn die Pakete auf verschiedenen WAN Interfaces reinkommen und die Regeln, die das erlauben, eben auf diesen Interfaces getrennt konfiguriert sind, gehen die Antworten auch wieder zum richtigen Gateway raus.
Daher meine mehrmalige Nachfrage nach dieser Konfiguration.

mpatzwah

@viragomann said in Zwei getrennte VPN Zugänge via versch. Provider:

Wie stellst du die Verbindung auf die andere IP her? Hast du eine eigene Client Konfig?

Wie stellst du die Verbindung auf die andere IP her? Hast du eine eigene Client Konfig?> Ja zwei verschieden Config (habe ich mir von meinem Netgate heruntergeladen)

Wie ist das auf Server-Seite eingerichtet, dass der OpenVPN Server auf beide WAN IPs lauscht?
VPN\OpenVPN\Servers:

WAN_TELEKOM UDP4 / 1194
(TUN) 10.1.1.0/24
Mode: Remote Access ( SSL/TLS + User Auth )
Data Ciphers: AES-256-CBC, AES-256-GCM
Digest: SHA512
D-H Params: 2048 bits Homeoffice Mitarbeiter

WAN_VODAFONE UDP4 / 1194
(TUN) 10.1.1.0/24
Mode: Remote Access ( SSL/TLS + User Auth )
Data Ciphers: AES-128-GCM, AES-256-GCM, AES-128-CBC
Digest: SHA256
D-H Params: 2048 bits Homeoffice Mitarbeiter Backup

viragomann

@mpatzwah
Das sind also 2 getrennte Server mit identischen Tunnel Netzwerken und unterschiedlichen Cipher-Settings. Das wird nicht gut gehen.

2 Verbindungen vom selben Client macht, wie schon erwähnt, ohnehin keinen Sinn, weil beide dieselben Routen setzen möchten.

Ich nehme an (geht aus den Angaben nicht hervor), dass beide Server dieselbe Benutzer-Datenbanken verwenden.
Wenn ja, macht es für mich auch keinen Sinn 2 Server zu betreiben.

Dann deaktiviere einen und lass den verbleibenden auf localhost lauschen. Auf beiden WANs richte dann ein Portforwarding von UDP 1194 auf localhost mit Firewall-Regel ein.
So ist das ein einziger OpenVPN Server, und dem kümmert es nicht, wo die Pakete herkommen, weil es es gar nicht weiß.

Am Client füge im Konfig-File eine zweite remote-Zeile für die zweite IP hinzu. Einfach die remote-Zeile kopieren und die IP ändern.

Du kannst die 2. remote-Zeile auch am Server im Client Export Utility als Advanced Option hinzufügen, so dass die Konfiguration mit beiden remote-Zeilen auch exportiert werden kann.

Der Client versucht dann die Verbindung zur ersten IP. Kommt die nicht zustande, versucht er die zweite. Der standardmäßige Timeout ist 10 s und kann auch geändert werden.

micneu

@mpatzwah said in Zwei getrennte VPN Zugänge via versch. Provider:

Hallo,
ich möchte aus Sicherheitsgründen via meinen beiden Providern (Telekom und Vodafone) einen VPN Zugang in meine Firma "legen".
Telekom geht, aber der zweite nicht, weil ich denke, dass zwar die Pakete via Vodafone reingehen, zurück gehen aber via Telekom.
Das denke ich jedenfalls, weil mein OpenVPN Client sagt, dass er von einer anderen IP Adresse kontaktiert wurde.

Geht so etwas überhaupt? Wenn ja wie ?

Vielen Dank
Marco

hier haben schon viele geantwortet, aber zum besseren verständnis währe ein grafischer netzwerkplan von deinem netzt und von dem gegenstelle warscheinlich eine erleichterung dein problem genauer zu erfassen.

ich habe es so verstanden aus diesem post:

• du hast zuhause 2 provider (telekom und vodafone)
• du willst zu EINEM OpenVPN server 2 verbindungen aufbauen
• die Home seite ist IMMER client (und kein s2s)

das habe ich verstanden. wenn es anderst ist bitte genauer beschreiben.
(deshalb brauche ich einen grafischen netzwerkplan) danke

PS: vieleicht solltest du mit euren netzwerk admins mal sprechen ob das so zulässig ist, ich würde meinen usern was erzählen
PPS: wenn deine admins damit einverstanden sind können sie dir ja auch helfen. das macht doch sinn/da die ja ihren aufbau kennen und wissen was zu tun ist (ist besser denke ich wenn du dir von deinem admins helfen lässt) bevor du da irgend eine sicherheistlücke baust (den aus deinem text höre ich das du noch nicht so fit in sachen netzwerk bist)

mpatzwah

@micneu
Also erstmal bin ich der Cheffe und deswegen muss ich mich keinem Admin rechtfertigen:-) wir sind aber auch nur 5 in der Firma … also bin ich auch Admin ( meiner hat letzten Monat gekündigt) Er sagte mir, es geht nicht, ich glaube es aber nicht.

ich habe in der Firma zwei Anbieter zuhause einen.

WAN / Internet 1 Wan / Internet 2 (Vodafone)
: ..:……………………. :
:
: ………………………. :
.-----+-----. _——————
| Gateway | | Gateway 2
'-----+-----' ——————-
|. |
WAN | IP or Protocol
|. l
.-----+-----. priv. DMZ .------------.
| pfSense +-------------+ DMZ-Server |
'-----+-----' 172.16.16.1 '------------'
|
LAN | 10.0.0.1/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (Clients/Servers)

JeGr

@mpatzwah said in Zwei getrennte VPN Zugänge via versch. Provider:

Geht so etwas überhaupt? Wenn ja wie ?

Jap. Multi-WAN einrichten, Failover Gruppe einrichten in der Reihenfolge wie es gewünscht ist und dann beim VPN Client Config statt WAN die FO Gruppe auswählen. Fertig :)

a, kann mann zwei VPN Tunnel in die gleiche Firma via zwei Provider und zwei feste IP Adressen setzen.

Das kann man theoretisch auch, technisch wahrscheinlich nur, wenn deine Firma das Spiel mit dir ordentlich macht, denn mit einem normalen Client VPN geht das eher schlecht als recht.

@mpatzwah said in Zwei getrennte VPN Zugänge via versch. Provider:

Woher weiß netgate

Netgate weiß gar nichts von dir ;)

@mpatzwah said in Zwei getrennte VPN Zugänge via versch. Provider:

durch welchen Provider die VPN Pakete zurückgeschickt werden?

pfSense weiß das nicht. Warum soll sie das wissen? Wenn du zwei Tunnel zum gleichen Endpunkt aufbaust, musst du darüber routen bzw. Routen setzen. Darüber wird entschieden, was wer wohin schickt. Die Routen werden gar nicht, manuell, semi-automatisch (Failovergruppe) oder automatisch (OSPF bspw.) gesetzt. Deshalb - s.o. - das geht mit 0815 Einwahl ClientVPN deiner Firma nicht. Wenn das mit der Firma abgeklärt und gewollt ist, dass die Anbindung redundant ist, dann kann man das entsprechend bauen. Das wird dann aber mehr als nur ein simples Client VPN Konstrukt, was man bauen muss.

@viragomann said in Zwei getrennte VPN Zugänge via versch. Provider:

Ja, aber nicht gleichzeitig, jedenfalls macht es keinen Sinn. Gleichzeitig auf denselben Server ist jedenfalls nicht möglich.

Hö? Warum soll das nicht möglich sein, er hat doch zwei verschiedene Leitungen. Klar kann man zu OpenVPN 2 Verbindungen aufbauen. Ob die Sinn machen ist dann das andere Thema, denn automatisch Routen pushen dorthin ist dann nicht, sonst hätte man ja die gleiche Route zu zwei Gateways. Aber möglich - klar :)

@micneu said in Zwei getrennte VPN Zugänge via versch. Provider:

PS: vieleicht solltest du mit euren netzwerk admins mal sprechen ob das so zulässig ist, ich würde meinen usern was erzählen

Jap, das meinte ich auch mit "Sollte mit Firma abgesprochen sein", denn wenn die Firma lediglich ein Client VPN an ihre Leute rausgibt, ist das ggf. mehr als nicht gewollt dass die das einfach bei sich als Tunnel auflegen und damit alle ihre Heimgeräte mit der Firma verbinden und ggf. damit das Firmennetz unterwandern.

Und ja, auch wenn man der Chef ist, sollte man sich bei sowas sicher sein was man tut ;) und ggf. auf seine Admins hören, die vielleicht da doch technisch bewanderter sind als man selbst. Chef sein macht einen ja nicht automagisch zum IT Experten gg

@mpatzwah said in Zwei getrennte VPN Zugänge via versch. Provider:

also bin ich auch Admin ( meiner hat letzten Monat gekündigt)

Das ist natürlich unschön, trotzdem bleibt die Warnung oben bestehen. Man sollte sich darüber klar sein, dass man bei Nutzung eines eigentlich als Client VPN ausgelegten VPNs als Tunnel recht einfach seinen kompletten IT Krempel zu Hause mit der Firma verbunden hat. Erstmal nur in eine Richtung, da Client VPNs dafür meist nicht ausgelegt sind in beide zu funktionieren, aber nichts desto trotz kann dann eben auch der smarte Kühlschrank plötzlich mal die Firma killen, wenn er nen Bug hat. Ja, das ist überspitzt ausgedrückt, aber wir sehen vermehrt Angriffe auf IoT und "smart" devices die eben gerade zu Hause geparkt sind und wenn es dann mal wieder einen Wurm oder Cryptojacker gibt, der sich darüber verbreitet (was es schon gab), hat man plötzlich nicht nur die eigenen 4 Wände kaputtgespielt, sondern im ungünstigsten Fall auch gleich den Kram in die Firma eingeschleppt.

Darum denke man bei sowas immer 3x drüber nach, was man tut. :)

Aber um es wieder auf die technische Machbarkeit zu bekommen: wie eingangs schon gesagt. JA das geht. OB und WIE es am Sinnvollsten geht, liegt stark auch an der anderen Seite, also dem OVPN Server in der Firma, worauf der läuft, wie der angebunden ist etc. Wenn da auf beiden Seiten ne Sense läuft kann man das ganz gut auch (mit einigen Abstrichen) bauen. Dann würde ich aber zu Abschottung und Vorsicht raten und mir das konzeptionell von jemand bauen lassen. Aus genau den Punkten von oben heraus.
Zumal ich aus der letzten Skizze jetzt entnehme, dass es NICHT der Fall ist, den wir die ganze Zeit angenommen hatten (also dass du/dein Client 2 WANs hat, sondern die Firma wo du dich einwählen willst). Der Fall dass der Server 2 WANs hat und der Client nur eines ist VIEL simpler zu lösen und benötigt KEINE 2 OpenVPN Server, sondern nur korrekte Konfiguration.

Ist das der richtige Use Case?

• Firma 2x WAN, OpenVPN Server, soll via beiden WANs erreichbar sein
• Du selbst Client, 1x WAN, Einwahl in Firma mit Failover sollte eine Leitung tot sein?

DAS wäre extremst einfach zu lösen :)

Cheers

mpatzwah

@jegr Also schon mal herzlichen Dank für die ausführliche Antwort und Danke für den Sicherheitshinweis.
Ich habe keine Smart-Geräte (und ja ich kenne auch den Fall wo Hacker mittels der Temperatur APP in einem Aquarium ein Casino gehackt haben...

Ich fange mal an zu konfigurieren :

also:
System / Routing / Gateway Groups
Habe beide auf Prio Tier 5

Dann VPN / Open VPN
Interface auf die Gruppe von Oben setzen
und dann shared Key export, richtig ?

VIELEN DANK !!!
Marco
PS: Werde es heute Abend testen

NOCling

Du hast bei Vodafone aber auch eine IPv4 (statisch) oder ein Dual-Stack und nicht son DS-Lite Anschluss Home Zeugs oder?

Denn mit letztem kannst du dich dann zwar schön mit dem Internet Verbinden, bist aber von außen nur über IPv6 direkt erreichbar.

mpatzwah

@nocling zwei Ip4 Anschlüsse

JeGr

@mpatzwah said in Zwei getrennte VPN Zugänge via versch. Provider:

Ich fange mal an zu konfigurieren :

Wenn du mir auf die Frage antworten kannst, was du von wo nach wo nun haben möchtest, kann ich dir auf die "richtig?" Frage auch eine korrekte Antwort geben :)

Siehe:

@jegr said in Zwei getrennte VPN Zugänge via versch. Provider:

Ist das der richtige Use Case?

Firma 2x WAN, OpenVPN Server, soll via beiden WANs erreichbar sein
Du selbst Client, 1x WAN, Einwahl in Firma mit Failover sollte eine Leitung tot sein?

DAS wäre extremst einfach zu lösen :)

mpatzwah

@jegr Was ich tun möchte?
Von meinem Homeoffice einen VPN Tunnel in die Firma legen (das geht ja bisher auch schon via Telekom)
Nur ist die hier schon 2 Mal für 36 Stunden in den letzten 12 Monaten hier flächendeckend ausgefallen. Deswegen habe ich einen zweiten Anbieter: Vodafone (mit einer Fritzbox)
Über dieses Anschluss komme ich in die Firma aber nicht rein.
Beide haben eine feste IP4 Adresse, bei der Fritzbox habe ich den Port 1194 udp und tcp freigegeben, trotzdem geht es nicht.

Ich habe eine Failover Group definiert und mir die Config Files für Windows gezogen, nur steht da die Ip Adresse 192.168. .... drinn. Ich hätte erwartet dass zwei externe IP Adressen drin sein müssten ... Failover und so :-)

viragomann

@mpatzwah
Die Failover Group brauchst du nur für ausgehende Verbindungen. Die muss in System > Routing als Standardgateway gesetzt werden, damit die Anschlüsse wahlweise für ausgehende Verbindungen genutzt werden können.

Wie die Einrichtung deiner VPN und das "Failover" des Clients funktionieren, habe ich schon oben in Post #9 bereits beschrieben.
Wenn du einen NAT Router vor der pfSense hast, musst du im Client Export bei Host "Other" auswählen und die externe IP manuell eingeben. Die 2. IP, wie oben beschrieben, muss als ganze remote-Zeile in den Advanced Options eingetragen werden.

noplan

@mpatzwah

Moin ich frag mal ganz was anderes
Was sagt das log des Ziel vpn servers wenn du dich über die 2te vpn Verbindung versuchst einzuwählen.

Ich hab hier das exakt gleiche setup und kann im Moment nicht nachvollziehen
(aus den bisher von dir erhaltenen Infos) wieso es klemmt

Und ja ich bin bei @JeGr @viragomann @micneu @NOCling
Wenn du das nicht richtig baust haste mehr Probleme in der Firma als dir lieb ist admin hin oder chef her (denn hier sind auch einige unterwegs die monatlich Lohn & Gehalt an ihre Mitarbeiter überweisen)

Übrigens ist das wie von @JeGr schon gefragt der use case
Ist das der richtige Use Case?

Firma 2x WAN, OpenVPN Server, soll via beiden WANs erreichbar sein
Du selbst Client, 1x WAN, Einwahl in Firma mit Failover sollte eine Leitung tot sein?

Np

mpatzwah

@noplan Also erstmal vielen Dank für die zahlreiche Unterstützung, das ist wirklich überwältigend …
Ich habe es noch nicht geschafft, weil ich gerade noch andere IT Probleme habe, aber ich bleibe dran und gebe Rückmeldung.
jetzt haben mich doch einige Posts verunsichert, was kann denn da alles falsch konfiguriert werden? bzw was implodiert mir denn da?
Gruss Marco

viragomann

@mpatzwah
Im Grunde soll jeder Rechner, der sich mit dem Firmennetzwerk verbindet, denselben Sicherheitskriterien unterliegen wie die Rechner in der Firma auch. Er soll für dieselbe Nutzungsart bestimmt sein und es soll ein ordentlicher Antiviren- und Malwareschutz drauf sein. Es darf also kein Spiele- oder schmutzige Videos-PC sein.

Weiters sollen auf der Firewall in der Firma nur jene Zugriffe (Ziel-IP und Protokolle) vom VPN Client erlaubt sein, die wirklich benötigt werden.
Internetverbindungen vom VPN-Client sollen nicht über die VPN laufen (Splitt-Tunnel).

Ich bin eigentlich davon ausgegangen, dass dir dies Dinge bereits bewusst sind.

Grüße

JeGr

@mpatzwah Also solange nicht klar definiert ist, was du bauen willst, kann ich da schlecht weiterhelfen.

Manchmal schreibst du aus Sicht von deinem "Homeoffice", mal aus der Firmensicht, da verstehe ich inzwischen nichts mehr. Es wäre schön, wenn du

a) entweder mal nen kleinen Netzplan machst, egal ob Ascii oder sonst wie (siehe angepinnter Beitrag da sind Möglichkeiten drin)
b) oder einfach mal klar und deutlich beschrieben wird:

• wo sind welche Anschlüsse vorhanden
• klare Definition, WO MultiWAN und wo SingleWAN ist
• klare Ansage, was an OpenVPN konfiguriert ist auf welcher Seite und wie

Erst dann kann ich sinnvoll sagen, was genau wie konfiguriert werden muss. Vorher ist das ein einziges Durcheinander, weil es sich teils so anhört, als wenn abgehend aus dem Homeoffice 2 Leitungen da sind - dann muss die Client Seite ja entsprechend konfiguriert sein. Und dann kommen wieder Sätze die so klingen als wäre die Firma mit 2 Leitungen angebunden, dann müsste der Server entsprehchend ganz anders konfiguriert werden und ggf. noch ein Kniff zum MultiWAN rein, damit das sauber funktioniert.

Daher bitte einfach mal klarstellen, welches Szenario wir hier haben :)

Cheers