Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    29 Standorte und deren lokale Netze OHNE zentralen Firmenstandort über das Internet vernetzen?!?

    Scheduled Pinned Locked Moved
    Deutsch
    5
    6
    437
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      papa87
      last edited by

      Hallo,

      ich bräuchte bitte eure Hilfe bei einem Projekt an dem ich aktuell arbeite und nun aber nicht weiß wie man das in der Praxis aufbauen sollte.

      Ich habe in Zukunft bis zu 29 Standorte welche alle über eine eigene statische IP Adresse und einer pfSense an das Internet angebunden sind.
      Jeder Standort hat mehrere Subnetze/VLANs. Nun würde ich gerne die Standorte vernetzen und mittels dynamischen Routing die einzelnen Subnetze bekannt machen.

      • es gibt aber keine Zentrale und ich kann nicht in jedem Standort 28 Destinations und deren Subnetze definieren.
      • die Verbindung über das Internet soll entsprechend gut verschlüsselt stattfinden.
      • im Idealfall connecte ich die einzelnen Standorte zu einem Netz (und die weiteren Hosts werden dann automatisch erkannt/bekannt gegeben) und gebe vielleicht noch an, welche Netze bekannt gemacht werden sollen. --> das eigentliche Routing/Beschränkung würde ich bei den jeweiligen Standorten mit Firewallregeln realisieren.

      Wie würde man das in der Prazis realisieren? Wireguard/OpenVPN/ipSec etc ist ja immer nur Punkt zu Punkt. hmmmm....
      Danach kann ich mir vorstellen es mit FRR und BGP zu realisieren, aber das VPN bereitet mir Kopfschmerzen.

      Danke für eure Hilfe!

      V JeGrJ 2 Replies Last reply Reply Quote 0
      • V
        viragomann @papa87
        last edited by

        @papa87
        Hallo,

        da könnte das hier das passende für dich sein:
        Dezentrales VPN mit Tinc

        Der Artikel ist nicht gerade neu, beschreibt aber kurz die Vorzüge von tinc.
        https://www.tinc-vpn.org

        Das gibt es als Package für pfSense.

        Vielmehr kann ich allerdings nicht zum Thema beitragen...

        1 Reply Last reply Reply Quote 1
        • B
          bananajoe
          last edited by

          Schau Dir mal Tailscale an. Alternativ Zerotier.
          Ist genau auf deinen UseCase zugeschnitten.

          Viele Grüße

          1 Reply Last reply Reply Quote 1
          • micneuM
            micneu
            last edited by

            meine wahl würde auch in richtung Tailscale gehen.
            Einen Blick ist es wert. Test würde ich es auf alle fälle und keine ahnung ob es für dich wichtig ist. Sprich mit eurem Datenschützer darüber ob aus seiner sicht da was gegen sprechen würde (keine ahnung welchen bereich ihr tätig seid)

            Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
            Hardware: Netgate 6100
            ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

            1 Reply Last reply Reply Quote 1
            • JeGrJ
              JeGr LAYER 8 Moderator @papa87
              last edited by

              Hi,

              @papa87 said in 29 Standorte und deren lokale Netze OHNE zentralen Firmenstandort über das Internet vernetzen?!?:

              Jeder Standort hat mehrere Subnetze/VLANs. Nun würde ich gerne die Standorte vernetzen und mittels dynamischen Routing die einzelnen Subnetze bekannt machen.

              du schreibst hier ja schon dynamisches Routing.

              @papa87 said in 29 Standorte und deren lokale Netze OHNE zentralen Firmenstandort über das Internet vernetzen?!?:

              es gibt aber keine Zentrale und ich kann nicht in jedem Standort 28 Destinations und deren Subnetze definieren.

              Wenn wir von dynamischem Routing bspw. mit OSPF reden, dann gibts hier ja nichts zu definieren. Da braucht es auch keine Zentrale. Die OSPF Instanzen reden ja entsprechend mit sich und tauschen die Routen aus.

              @papa87 said in 29 Standorte und deren lokale Netze OHNE zentralen Firmenstandort über das Internet vernetzen?!?:

              die Verbindung über das Internet soll entsprechend gut verschlüsselt stattfinden.

              Naja sie ist verschlüsselt oder nicht. "Gut" ist relativ dehnbar. Was ist denn gut? AES-128/256 tut, wenns WG ist, dann halt Chacha20, aber was anderes nutzt man heute eh nicht.

              @papa87 said in 29 Standorte und deren lokale Netze OHNE zentralen Firmenstandort über das Internet vernetzen?!?:

              im Idealfall connecte ich die einzelnen Standorte zu einem Netz (und die weiteren Hosts werden dann automatisch erkannt/bekannt gegeben) und gebe vielleicht noch an, welche Netze bekannt gemacht werden sollen. --> das eigentliche Routing/Beschränkung würde ich bei den jeweiligen Standorten mit Firewallregeln realisieren.

              Verbinden zu einem Netz? Zu welchem? Warum? Das ist nicht ganz klar.

              @papa87 said in 29 Standorte und deren lokale Netze OHNE zentralen Firmenstandort über das Internet vernetzen?!?:

              Wie würde man das in der Prazis realisieren? Wireguard/OpenVPN/ipSec etc ist ja immer nur Punkt zu Punkt. hmmmm....

              Jein. Wurde ja schon mehrfach genannt, es gibt andere VPNs wie Tailscale, die auf Wireguard aufsetzen. Darüber wäre das bspw. machbar, wird aber bei 29 Standorten natürlich teurer, da dann auch 29 GW Hosts im Netz sind die routen annoncieren müssen. Das kann man dann ggf. versuchen sich mit Headscale selbst zu bauen, hat dann aber eben nicht so viele Features. Was damit aber eben gemacht wird ist einen zentralen Standort zu schaffen, wenn es keinen gibt. Und das kann man so oder so.

              Du kannst ja bspw. problemlos in irgendeiner Wolke oder RZ einen zentralen VPN Host reinflanschen zu dem sich alle Standorte connecten. Dann hast du im Prinzip gebaut was Tailscale auch hat - eine zentrale Backplane über die die Routingentscheidungen laufen. Nur dass Tailscale jetzt noch darüber "lernen" lässt, wo die einzelnen Standorte sind und sich die dann ggf. auch gegenseitig direkt connecten können.

              Aber das kannst du mit anderen VPNs genauso bauen. Die Fragen sind aber primär:

              • sind alle Standorte mit allen Netzen und VLANs ordentlich disjunkt, teilen sich also keine IP Subnetze und Masken? Sonst geht hier nämlich das erste Drama los, wenn das Routing nicht klappt
              • müssen alle Standorte mit allen sprechen oder geht es im Einzelfall dann doch eher um größere Zentralen mit denen gesprochen wird?
              • Wo sind Hauptkommunikationspfade? Wo wird mit viel Traffic gerechnet?

              Wenn man sich die Fragen und ggf. weitere stellt und sich dann mal kurz ein Bild dazu zeichnet, sollte klarer werden, was genau man für eine Struktur braucht und je nachdem welche das ist, kann man dann das Projekt angehen, welches VPN und wie man es dann anbringt.

              Nur als Beispiel: 28 VPNs überall einrichten klingt nach Drama. Wenn man aber die Tunnel konfiguriert hat und man sie ex/importiert, kann das schnell erledigt sein. Wenn sich aber rausstellt, dass die Kommunikation meist über eine oder eine Hand voll Hubs läuft und die anderen eher Nebenschauplätze sind, kann man seine Strategie anpassen. Das kann dir aber keiner sagen, ohne mehr Details zu kennen.

              Cheers
              \jens

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 1
              • P
                papa87
                last edited by

                Woooow!!

                Ich hätte niemals mit so vielen, netten und detailreichen Lösungsansätzen gerechnet! - Vielen Dank! - Ihr seid der Hammer!

                Da die einzelnen VLANs/Subnetze schön separiert sind und es keine Überlappungen gibt, werde ich den Weg mit Tailscale mal versuchen. - Was mir an Tailscale oder Headscale leider wenig gefällt ist, dass der Traffic dann auf einer Ziel pfsense mit der lokalen pfsense IP genattet wird. Soweit ich weiß kann man die Firewallregeln im der Tailscale Cloud (Webpage) fein anpassen, aber die Source IP Adresse sehr ich dann leider wieder nicht, was speziell bei Logfiles oder fail2ban sicher wieder andere Probleme verursacht.

                Hat hier jemand noch eine Idee? Soweit ich gelesen und verstanden habe, ist das aber bei der pfsense mit Tailscale immer so. (durch die Implementierung im System?!

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post