OpenVPN TAP Layer 2, ich bekomms nicht hin -> Bitte Hilfe!
-
@Markus4210 said in OpenVPN TAP Layer 2, ich bekomms nicht hin -> Bitte Hilfe!:
da bei beiden Standorten das selbe Netz ist
Sorry, aber warum hat man an beiden Standorten das selbe Netz? Ist doch klar dass das zu Problemen führt. Wenn es dafür keine zwingenden Gründe gibt würd' ich das umgehend ändern.
Zudem könntest Du dann statt openVPN auch Wireguard nehmen um die Standorte zu verbinden. Ist deutlich einfacher zu konfigurieren.
-
@eagle61
Die Frage ist vielmehr, warum man Broadcasts über die VPN braucht.
Wenn das tatsächlich nötig ist, ist dasselbe Netz auch nötig und eine alternative VPN kann auch nicht Abhilfe schaffen.
Ich glaube gar nicht, dass das mit Wireguard überhaupt möglich wäre.Ein L2 über mehrere Standorte würde ich allerdings vermeiden, wenn nur irgendwie möglich. Also erstmal nach anderen Lösungen suchen.
-
Hallo zusammen!
Schonmal vielen Dank für eure Antworten.
Das selbe Netz auf beiden Standorten hat mehrere Gründe.
Es gibt in summe ca. 60 Clients die alle auf 192.168.1.100 und 192.168.1.29 über einen anderen VPN Server derzeit auf Standort 2 zugreifen.
Der Großteil der Server von Standort 2 werden aber auf Standort 1 übersiedelt.
Somit müssen die Clients dann auch via TUN VPN auf Standort 1 verbinden und dann von Standort 1 via TAP VPN auf Standort 2. Die IP´s in den Clients sind hardcoded. Ich kann diese leider nicht ändern.
Des weiteren brauche ich die Broadcast Pakete. Das sind Video Broadcasts die alle Clients bekommen müssen.Lange Rede kurzter Sinn.
Ich habs soweit hinbekommen.
Die TAP Verbindung läuft. jetzt bin ich grad noch beim Hardening.
Wenn der VPN Server ausfällt verbindet sich der Client nicht neu.
Erst wenn ich die PFSense Box am Standort 2 manuell neu starte geht wieder alles.
Das ist aber blöd -> 100km zum fahren.
Jemand ne Idee?Danke!
Config kommt dann gleich, und werd auch ein Netzschema zeichenen.
MfG.
-
-
-
@Markus4210 said in OpenVPN TAP Layer 2, ich bekomms nicht hin -> Bitte Hilfe!:
Es gibt in summe ca. 60 Clients die alle auf 192.168.1.100 und 192.168.1.29 über einen anderen VPN Server derzeit auf Standort 2 zugreifen.
Der Großteil der Server von Standort 2 werden aber auf Standort 1 übersiedelt.
Somit müssen die Clients dann auch via TUN VPN auf Standort 1 verbinden und dann von Standort 1 via TAP VPN auf Standort 2. Die IP´s in den Clients sind hardcoded. Ich kann diese leider nicht ändern.Ich bin auch gerade in einem Übersiedlungsprozess. Am neuen Standort ist natürlich eine anderes Subnetz.
Als ich einen Server übersiedelte, habe ich am VPN Interface ein Port Forwarding zur neuen IP eingerichtet.
Die VPN User haben sich, wie gewohnt, mit dem Server verbunden, ohne was von der Übersiedlung und dem neuen Server mitbekommen zu haben.Port Forewarding funktioniert auch, wenn die Ziel-IP hardcodet ist.
Wenn der VPN Server ausfällt verbindet sich der Client nicht neu.
Erst wenn ich die PFSense Box am Standort 2 manuell neu starte geht wieder alles.
Das ist aber blöd -> 100km zum fahren.Dann solltest du dir erst mal einen Remote-Zugang verschaffen, einen VPN Access Server oder eventuell auch via SSH.
Wie fällt der VPN Server aus? Wird er manuell abgeschaltet?
Ansonsten sollte ein Server auf einem HA-Setup nicht lange unterbrochen sein und sich ein Client sofort wieder verbinden.Vielleicht finden sich im Log des Clients hilfreiche Hinweise, warum das nicht geschieht.
-
Jetzt mal der Server:
-
Port forwarding -> ja gute Idee.
Bleibt das Problem mit Broadcast und ich habe dann am Standort 1 einen Port auf den 192.168.1.100 offen -> möchte ich nicht....Ausfall.
Derzeit ist das ganze quasi noch im Homelab.
Darum auch Hardening
Aber über 2 getrennte I-Net Verbindungen also sehr Realität nahe.Habe gerade noch was rausgefunden.
1.) der Client hat Probleme mit DNS
2.) nach einem Ausfall kommt die Verbindung wieder kann aber wenn der Cluster ausfällt
vom Cluster nicht mehr auf die PFSense 192.168.1.4 verbinden. Das geht nur wenn ich den Client neustarte. Kann es sein das sich der CLuster eine Route nicht merkt?MfG.
-
Problem 1 behoben.
Der Cluster macht ja DHCP für den Client - der hat den Clients falsche DNS server mitgeschickt.MfG.
-
Anscheinend hat sich mit der DHCP/DNS Umstellung auch Problem 2 gelöst -> warum auch immer.
Vielen Dank für die Denkanstöße!
-
@Markus4210
hast Du mehrere WANs?Ich würde beim VPN Client bei (Schnittstelle) mal "any" einstellen (oder wie auch immer das im deutschen heißt), wenn er sonst auf ein anderes WAN wechselt würde er fest hängen. Den Fehler habe ich mal vor Jahren gemacht und durfte auch 300 km fahren :)
-
@slu
Servus, danke für den Tipp.
Ja momentan - testbetrieb sinds 2 Wans -> wird aber wieder eins, Produktiv dann.MfG.