OpenVPN hinter Router - Roadwarrior Zugriff auf WAN Port der Pfsense..?
-
Hallo zusammen.
Ich habe eine spezielle Anwendung, die ich mal versuche zu skizieren…
| Fritzbox |---> S0 ----> ISDN TK
'-----+-----'---> Mailserver (Portforw.)
|
-----+------.
| LAN-Switch | ----> Clients + NAS + Printer 192.168.100.0/24
'-----+------'
|
.-----+-----.
PFSENSE OpenVPN Server <---- Roadwarrior mit Zugriff auf NAS usw.
'-----+-----'
|Die Pfsense soll auf einem KVM mit 2 Schnittstellen laufen. Die erste ist von einer NAS VM genutzt. Die zweite frei.
Die Roadwarrior müssen das 192.168.100.0 Netz erreichen. Ist sowas lösbar.? Wir zweite eth. genutzt.?Die Fritzbox soll "normal" weiter laufen. Nicht nur wegen dem ISDN VOIP, sondern auch weil dort das Portfporwarding zum internen Mailserver etabliert ist. Und die Pfsense würde ja auch als VM laufen. Würde gerne den "single point of failure" vermeiden, falls der KVM Server mal ausfällt. (Proxmox...)
Machbar, oder unmöglich.??
Vielen Dank für Tipps und Hinweise.
--
Rüdiger -
Hi!
Machbar, ja.
Du willst also nur rein einen VPN Server mit der pfSense realisieren. Dafür gibt es vermutlich schlankere Lösungen, aber da bin ich auch nicht bewandert.
Ich hatte einmal für 2 Wochen eine solche Konstellation im Einsatz, einen pfSense OpenVPN Server auf KVM, im Zuge der Umstellung der Firewall auf pfSense. Ziel der Aktion war, den Usern Zeit zum einrichten der neuen VPN Verbindung zu geben.
Dabei hatte ich 2 Interfaces aktiv, WAN u. LAN, und die lagen beide im selben Subnetz. Nicht die empfohlene Methode, hat aber problemlos funktioniert.Grundsätzlich sollte es auch mit nur einem Interface funktionieren, weiß aber nicht, ob die pfSense Installationsroutine das auch so sieht. Wäre aber egal, ein zusätzliches virtuelles IF kannst du ja ohne weiteres anlegen.
Den VPN-Port musst du natürlich auf der FB zur pfSense weiterleiten können. Ob das funktioniert, kann ich dir nicht sagen, kenne die FB nicht, denke aber doch.
Ich kann aber dieses Post nicht abschließen, ohne zu empfehlen, dir eine Hardware-Firewall zuzulegen und die FB zu bridgen (wenn mgl.). Die HW pfSense könnte dann VPN Server und auch alles übrige machen, vermutlich sicherer und zuverlässiger als die FB. Aber das sei deine Entscheidung.
Gruß
-
Möglich, das das oversized dann ist.
Ich wollte dann später das ganze noch erweitern. Am LAN Port der Firewall sollte ein Rechner für Servicezwecke laufen, der vom Rest des Netztes getrennt ist, aber von aussen auch via openvpn erreichbar ist.
Und die Fritzbox als Modem laufen zu lassen, geht afaik nicht mehr mit aktuellen Firmwareversionen. Und wenn es da eine alternative Firmware geben sollte, würde dann sicher die VOIP ISDN Funktion ausfallen. Das geht mit der Firewall wohl nicht…?!
--
Rüdiger -
Moin nochmal
Bin grad am Überlegen, was denn die optimale Lösung wäre. Wenn ich jetzt mich dazu durchringen würde, die pfsense an erste Stelle zu setzten, was ja sicher das beste wäre. Wie läuft das denn dann mit dem VOIP bei einem Telekom IP Anschluss.?
Ich mal etwas gemalt, weil das in Textform zu komplex wird…
http://rsnetwork.de:8006/f/f55843abcf/
–
RüdigerDanke vorab für Hilfestellung.
-
@Rudi: Warum nicht den "Standard" Fall umsetzen und die pfSense der Fritzbox direkt nachschalten VOR dem eigentlichen LAN? Das wäre dann zwar je nach Konfiguration eben ein zweiter Router oder gar doppelte NAT, aber das macht meiner Erfahrung nach weniger Probleme (vor allem wenn man dann später noch weitere Funktionen umsetzen möchte) als das virtuell auf Kisten mit Interfaces hinzufriemeln. Außerdem würde ich der FB als Default Router weniger vertrauen als meinem eigenen Gateway, welches ich vollständig kontrolliere. Und eine Hardware Kiste mit pfSense ist mit ~150€ einfach zu realisieren (bspw. APU) und hätte mit 3. Interface dann genau deinen Anwendungsfall noch berücksichtigt, ein extra Service Netz für ein abgesetztes Netz zu realisieren.
HA (Hochverfügbarkeit) ist immer wünschenswert, keine Frage, aber manches Mal muss dann auch Nutzen/Kosten/Usability mit einbezogen werden und Ausfall von Komponenten abdecken ist schön, aber wenn dir vorne deine (einzige) Fritzbox wegfliegt, ist das Netz auch tot, insofern hilft dir HA hintendran auf KVM Ebene eigentlich gar nichts.
Grüße
Jens -
Ja, das hatte ich jetzt auch in meiner Überlegung so angedacht und aufgezeichnet, wie Du es eben beschrieben hast.
Also eine eigene Hardware als Firewall. Die Fritzbox davor im DMZ Mode. Kann die dann trotzdem noch QOS wegen dem VOIP?
Ist denn die doppelte NAT kein Problem.? Vor allem Performance.? Der Mailserver muss unbedingt flott erreichbar sein.
Wie werden die beiden VPN denn getrennt.? Der Roadwarrior geht ja ins LAN, das Kundensystem mit einem OpenWRT Router soll aber zum
Service Netz. Wir haben nur einen dyn. Hostnamen. Bei Mail ist das kein Problem übrigens…Kann ein Rechner im LAN den Mailserver auch direkt erreichen.? Mit einer Route.? Das wären aber nur ein paar Ausnahmen. Die meisten haben Notebooks und nehmen fürs Mail Webinterface dem dyn. Hostnamen...
--
Rüdiger -
Ich habe auch eine Site wo ich pfsense hinter einer Fritzbox betreibe. as NAT überlasse ich der Fritzbox.
Auf der pfsense habe ich NAT ausgeschaltet.
Die Fritzbox macht voip und guest-wifi, alle firewall regeln sowie VPN und internal wifi laufen auf der pfsense.Ich habe eine andere site in der eine pfsense auf ALIX lediglich als VPN knoten für einen road warrior und eine site-site Verbindung dient.
Dafür steht die box in diesem Fall mit nur einem Interface auch direkt hinter der fritzbox. Das routing läuft dann für VPN auf dem interface rein und wieder raus.-Till
-
Ich sehe schon, das ich noch viel lernen darf. Firewallfunktionen haben demnach nichts mit NAT zu tun.?!
Das mit dem Guest Wifi ist ja ne gute Idee. Hatte mir schon gedacht, das der Wifi Zugang dann nicht mehr im LAN ist.
Ist es also so, das alles aus meinem vorausgegangenen Post machbar ist.? Vor allem die zwei getrennten OpenVPN Zugänge.?!
–
Rüdiger -
Nein, Firewall und NAT sind in der Tat zwei paar Schuhe.
Ich sehe nichts was da nicht umsetzbar ist.
Wie kommen in deiner Zeichnung die VPN user ins Netz? Gibt es da einen zweiten Internet Zugang? -
Nein. Nur ein Internet Zugang.
Die Roadwarrior (Mitarbeiter) bekommen nen Win Client aufs Notebook um ins LAN zu kommen.
Im Servicenetz sollen die Systeme von extern sich mit einem Router anmelden. Ziel ist es da, bei den Kunden keine Löcher in deren Firewalls zu bohren um die Systeme zu Supporten, sondern eben eine aktive Einwahl vom Kunden in unser Servicenetz.
BTW: Wenn es mehr wie 254 Kunden bzw. Systeme sind. Kann da die Maske entsprechend angepasst werden.? 1000 Systeme sollten reichen.
–
Rüdiger -
Firewallfunktionen haben demnach nichts mit NAT zu tun.?!
Ohje. Da hat die Propagandamaschine zugeschlagen (von diversen Providern und Biligrouterherstellern). Nochmal damit das vielleicht auch hier Fuß fasst: NAT ist KEIN Sicherheitsmerkmal und dient lediglich dazu, eine IPv4 Adresse so zu "vergewaltigen", dass man dahinter noch weitere Maschinen packen kann, welche alle über diese eine Adresse geschleust werden. Das ist eine reine IP-Sparmaßnahme. Mit Filterregeln eines Paketfilters hat es dann schon zweimal nichts zu tun, es wird nur von den meisten Paketfiltern mit implementiert, damit man nicht verschiedene Tools nutzen muss. Eine Firewall (eigentlich eine Filter-)Regel definiert, was erlaubt ist oder was nicht. Eine NAT Regel definiert lediglich eine Adressübersetzung, dass bspw. ein internes Subnetz 10.0.0.0/24 auf die externe Adresse x.y.z.a/nn gemappt wird. In dieser Definition ist aber kein erlaubt/nicht erlaubt enthalten, das regeln einzig und allein die Filterregeln.
NAT wird zwar lang, breit und gerne von wem auch immer gern als Sicherheitsaspekt verkauft (von außen per default keine Verbindung möglich blabla), ist es aber nicht. Heute sind sehr viele Dienste recht schnell dazu in der Lage, von außen Verbindungen aufzubauen, sei es durch Trojaner/Viren oder auch über Dritthosts, die als Connection Server genutzt werden. So bspw. bei TeamViewer und Co. damit die Fernwartung etc. auch durch "Firewalls" hindurch möglich ist.
Also eine eigene Hardware als Firewall. Die Fritzbox davor im DMZ Mode. Kann die dann trotzdem noch QOS wegen dem VOIP?
Die Fritzbox macht weiterhin Ihren Kram, inklusive QOS für VOIP.
Ist denn die doppelte NAT kein Problem.? Vor allem Performance.? Der Mailserver muss unbedingt flott erreichbar sein.
Nein, wie oben beschrieben wird lediglich eben zweimal ein Paket umgeschrieben (Absender geändert), ob flott oder nicht ist dabei völlig unerheblich. Viele nutzen das genau so weil sie hinter einem Zwangsrouter bei VDSL oder Kabel sitzen und diesen eben nur minimal bis gar nicht konfigurieren können und ggf. auch dem Provider keinen Einblick in die interne Netzstruktur geben möchten (bei ner doppelten NAT sieht der Providerrouter nur das WAN der pfSense, bei reinem Routing natürlich auch die anderen Maschinen).
Wie werden die beiden VPN denn getrennt?
Welche beiden? Du sprachst oben nur von einem, welches du auf der pfSense laufen lassen möchtest.
Ich hätte die pfSense als Dreibein implementiert:
WAN / Internet : : DialUp-/PPPoE-/Cable-/whatever-Provider : .-----+-----. | Gateway | (Fritzbox mit VoIP) '-----+-----' | WAN | IP Transfernetz | .-----+-----. priv. DMZ .------------. | pfSense +-------------+ DMZ-Server | '-----+-----' 172.16.16.1 '------------' | LAN | 192.168.100.1/24 | .-----+------. | LAN-Switch | '-----+------' | ...-----+------... (Clients/Servers)Dazu genügen auch 2 OpenVPN Server, die man in der pfSense definiert. Einer für die Roadwarrior, die Einwahl ins LAN brauchen. Einen macht man dann mit entsprechend großer Netzmaske für das Servicenetz (auch wenn ich >100 Tunnel dauerhaft aktiv für unrealistisch halte, weil dafür dann schon etwas bessere Hardware dastehen sollte).
PS: würde ich das lokal bei den Kunden auch mit einer pfSense machen. Kleine APU oder wenns billiger sein muss eine Alix mit vorkonfigurierter pfSense, notfalls auf das LAN des Kunden anpassen und vorkonfigurierter Tunnel mit der Endstelle bei euch. Fertig. Da braucht man kein OpenWRT Router Gedöns und hat alles mit der gleichen Software am Start.
Machen wir für diverse Kunden ebenfalls so.PS2: Wie berücksichtigt ihr dann bspw. den Fall, dass 10 Kunden alle das gleiche lokale Netz haben? (10.0.0.0/24 bspw.)? Wie wollt ihr euch - wenn alle Kunden ihre Tunnel ständig offen haben - dann bei Kunde 1 auf 10.0.0.10 einwählen (nur Beispiel) und dann bei Kunde 2 auf 10.0.0.10? Da müsst ihr den VPN Tunnel ja lokal nochmal NATten damit ihr eindeutige Netze habt!?
Grüße
-
Vielen Dank für die ausführliche Erklärung.!
Ja, ich hatte erst das Servicenetz unter den Tisch fallen lassen. Hab mich dann aber umorientiert. Wie in meiner Skizze (Photo) zu sehen, sind ja neben dem LAN und der DMZ auch noch das Servicenetz. Braucht es dann nicht ein "Vierbein".?
Entsteht bei den Tunneln des Service Netz so viel Traffic.? Da sind ja keine PC dran, sondern IP Wählgeräte. Da passiert nicht viel bzw. garnichts.
Und klar. Diese APU sind ja viel besser geeignet. Als die Idee reifte, dachte ich an meine Freifunkrouter mit ihrem OpenVPN.
Wichtig ist nur für den Einsatz beim Kunden, das das System neben dem Tunnel auch noch ins Internet zu externen Wachzentralen kommt. Das aber nur ausgehend.
Die IP des Kundensystem kann ich doch frei wählen. Da sollten sich Kollisionen doch vermeiden lassen.?! Das LAN ist in dieser Konstellation doch egal, oder nicht.?
Der Aufbau wäre dann so:
Kundensystem–-----Pfsense------------LAN Switch------Router(Kunde)----DSL
Wir wollen ja auf keinen Fall mit dem Kundennetz was zu tun haben. Ausser das das Kundensystem raus ins Internet muss, und wir via VPN rein. Mache ich einen Gedankenfehler.?
--
Rüdiger -
Hi,
Ich hätte die pfSense als Dreibein implementiert:
..genauso habe ich das auch am laufen.
Fritte 7490 als Zwangsbox mit Portforwarding der Tunnelports + NAS.
LAN der Fritte 192.168.223.1 /24 DHCP (1x reserviert für pfsense WAN 192.168.223.2)
…am LAN dann...- für den Medien-Schrott TV etc.
- bei Bedarf noch einen Gäste-WLAN Zugriff (haben bei mir im LAN nix zu suchen ;))
- Verbindung zum WAN der pfSense
pfSense auf einem ALIX (APU kommt vielleicht irgendwann auch noch) 3NIC´s...
- WAN (statisch 192.168.223.2)
- LAN 192.168.xxx.0/24 (2 Clients)
- DMZ (opt1) NAS 172.16.x.0/24
- WLAN (DHCP) 192.168.XX.0/24 (für 2 Laptops Family)
- 3 x OpenVPN-Server 10.0.x.0/24 etc.
Braucht es dann nicht ein "Vierbein".?
..wäre das dann wohl… ;)
....und schon ist dem "Sicherheitswahn" genüge getan..;-)
2 x NAT stellt bei einer 25 VDSL-Verbindung kein Problem dar, zumindest ist das nur geringfügig.
Gruß orcape -
Ja, ich hatte erst das Servicenetz unter den Tisch fallen lassen. Hab mich dann aber umorientiert. Wie in meiner Skizze (Photo) zu sehen, sind ja neben dem LAN und der DMZ auch noch das Servicenetz. Braucht es dann nicht ein "Vierbein".?
Warum 4? So werd ich aus der Skizze nicht schlau, dass ich 4 Beine sehen würde!?
Entsteht bei den Tunneln des Service Netz so viel Traffic.? Da sind ja keine PC dran, sondern IP Wählgeräte. Da passiert nicht viel bzw. garnichts.
Nein nicht viel Traffic, aber verschlüsselte Tunnel oben zu halten kostet eben auch ein paar Ressourcen. Wenn da kaum Traffic drüber fließt, kann das klappen, ich wollte es aber erwähnt haben.
Die IP des Kundensystem kann ich doch frei wählen. Da sollten sich Kollisionen doch vermeiden lassen.?! Das LAN ist in dieser Konstellation doch egal, oder nicht.?
Ich hatte das anders verstanden, dass ihr bei Kunden selbst ein Device reinpacken wollt, dass den Tunnel aufbaut und ihr ins Kundennetz müsst. Wenn ihr euer zu wartendes Gerät hinter eine pfSense beim Kunden packt, dann ist das was anderes, klar.
Aber da wäre es praktischer wenn du dazu mal ein paar Skizzen zeichnen könntest (bspw. mit Gliffy o.ä.), dass man den Kram besser versteht ;)
-
Die 4 Beine sind nach meiner Ansicht:
- Fritzbox/Modem
- DMZ
- Servicenetz
- Lan
Ich war bisher der Ansicht, das ich pro Subnetz auch einen Ethernet Port brauche.
Mit Skizze meine ich nicht die ASCII Grafik, sondern das Photo von hier.
http://rsnetwork.de:8006/f/f55843abcf/
Ich hoffe es wird deutlicher.
–
Rüdiger -
Ah, ja dann wäre es ein 4-Bein. Das ist aber irrelevant, das können ja auch VLANs sein, das müssen nicht alles auch physikalische Interfaces sein.
-
Müsste jetzt noch eben wissen, ob es mit dem 3 Port langt, oder ob es doch 4 sein müssen für das Scenario in meinem letzten Post. Und welche Hardware es jetzt sein soll.?
Der hat 3x Ethernet.
http://www.miniserver.it/popular-products/firewall-entry-level-3-nic.htmlDer Preis gefällt. Sehe aber keine 4 Port Variante…
--
Rüdiger -
Ich denke das bei normalen ADSL/VDSL Anbindungen sogar eine Hardwarefirewall mit 2 (oder im Extremfall sogar mit einem einzigen Netzwerkport :o ) reicht.
Mach dich mal zu dem Thema VLAN schlau, http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
du kannst mit einem 25€ Switch http://www.amazon.de/TP-LINK-TL-SG105E-Gigabit-lüfterloses-Passivkühlkonzept/dp/B00N0OHEMA/ref=sr_1_9?ie=UTF8&qid=1420885942&sr=8-9&keywords=tp-link+switch der konfigurierbar ist VLANs einrichten, verwalten etc.. (nicht was ein Cisco oder Juniper kann aber genug um über einen einzigen Port der pfSense Firewall auf der LAN Seite an mehrere komplette Netzwerke, DMZs etc.. anzuschliessen.
Die Daten auf der LAN Seite teilen sich natürlich ein Kabel, die Datenübertragungsrate des Ports, also nichts für jemanden der da Wahnsinns Datenraten braucht, aber wie geschrieben, für eine ADSL/VDSL Leitung reicht das IMHO locker.
Mann könnte sogar mit einem pfSense Hardware mit einem einzigen Netzwerkport auskommen, dann müsste der WAN Anschluss auch noch auf den Smarten Switch, der diesen Daten das entsprechende VLAN Tag verpasst und dann gehen die Daten über ein und das selbe Patchkabel in die pfSense Box rein und gefiltert, geroutet, etc. wieder raus an die verschiedenen Empfänger im Netzwerk.
Gruss Auric
-
Oh, sorry
Habe Posts übersehen.
Ja, ich lese mich da eben ein…!
Danke
-
Interessant Sache.
Dann kann ich also dem o.g. portbasiertem Switch 4 VLAN zuordnen, und dann in der pfsense zuordnen.?
Das ist auch diese Abfrage der pfsense bei der Schnittstellen Zuordnung.? Das hab ich immer übersprungen.!
Die Pfsense gibt dann auf z.B. einem Port was raus, was zum Subnetz XY gehört und der Switch weiss wo das dann hin muss.?
–
Rüdiger
