PfSense als für Site2Site VPN hinter Speedport



  • Hallo miteinander,

    ist es möglich, eine pfSense hinter einem Speedport W723V als Site2Site VPN-Gateway zu konfigurieren.

    Wenn ja, wie?

    Vielen Dank und Grüße



  • Hi,
    warum soll das denn nicht gehen.
    Ein Portforwarding für den Tunnel auf dem Speedport machen und gut ist.
    Du musst nur den Tunnelport freigeben…
    Beispiel: OpenVPN-Standart-Port 1194
    Du solltest dann aber auf dem Speedport eine WAN-seitige statische IP haben oder zumindest DynDNS einrichten. Dieses dann entsprechend in der Client.config eintragen, damit der Client auch weiss wo´s hingeht. ;)
    Gruß orcape



  • Kannst du den Speedport zum Modem machen? PPPoE Passtrough?



  • Hi,

    vielen Dank schon mal für die Antworten.

    Ich kann den Speedport leider nicht zum Modem machen, da an diesem Speedport mehrere Firmen hängen (Baucontainer auf einer Baustelle).

    Sprich, ich konfiguriere die pfSense auf hinter dem Speedport als VPN-Client. Hinter der pfSense hängen dann die Computer, welche direkt per VPN verbunden sind, wenn ich das richtig verstehe.

    Bis jetzt haben wir nur IPSec Site2Site Verbindungen mit festen IPs an verschiedenen Standorten…

    Gruß



  • Ich denke mal das dieses Thema schon oft hier durchgekaut wurde, wenn du nach "zwangsrouter" kommst du z.B. auf den aktuellen Thread

    https://forum.pfsense.org/index.php?topic=86475.msg474259#msg474259

    ob das eine Fritte oder ein Speedport oder sonst ein Gerät ist ist egal.

    Gruss Auric



  • Hallo!

    @speedy-luis:

    Sprich, ich konfiguriere die pfSense auf hinter dem Speedport als VPN-Client. Hinter der pfSense hängen dann die Computer, welche direkt per VPN verbunden sind, wenn ich das richtig verstehe.

    Ach so. pfSense als VPN Client. Da sollte der Speedport ja nichts dagegen haben. Da solltest du den Speedport nicht mal anzutasten brauchen.
    Gibt es ein konkretes Problem dabei? Oder ist OpenVPN ein grundsätzliches Problem, weil du es noch nie gemacht hast?

    Grüße



  • Hallo!

    Das war nur eine Überlegung von mir, die pfSense als VPN Client anzubinden, da es wohl die einfachste Möglichkeit ist. Die Clients, die dann an der pfSense angschlossen sind, hängen dann ja automatisch im VPN. Außerdem brauch ich kein DynDNS usw… Oder hab ich einen Denkfehler?

    Gruß



  • Nein. Das kann schon funktionieren. Das Problem, die Erreichbarkeit zu gewährleisten, hat die andere Seite, der VPN-Server.

    Du musst aber den Client die Route zum Remote-Netz beibringen. Der Speedport wird vermutlich dein Default-Gateway sein. D.h. alle Verbindungen, die von den Clients nicht ins LAN gehen, werden an den Speedport geschickt und der routet sie weiter.

    Damit die Clients das Remote-Netz erreichen, gibt es mehrere Möglichkeit:

    • Auf dem Speedport eine statische Route dafür über das VPN-Interface setzen (weiß nicht, ob der das kann).

    • Die pfSense zum Default Gateway machen. Vermutlich macht der Speedport DHCP und die Host beziehen von ihm ihre IPs. Den müsstest du nur deaktivieren und eine fixe IP vergeben, diese mit dem WAN der pfSense verbinden und auch der eine fixe IP verpassen und am LAN der pfSense, wo dann die internen PCs dranhängen, einen DHCP Server aktivieren.

    • Eine statische Route fürs Remote-Netz auf jedem Host konfigurieren, der es erreichen können soll. je nach Anzahl an Hosts kann das mehr Arbeit sein und einen höheren Pflegeaufwand nach sich ziehen.



  • Vielen Dank für die Antworten  ;)

    Die zweite Variante wird es werden. So hab ich mir das zu das zumindest vorgestellt. Die pfSense soll default Gateway werden und als DHCP fungieren usw…

    Nur was meinst du damit:

    Das Problem, die Erreichbarkeit zu gewährleisten, hat die andere Seite, der VPN-Server.

    Der VPN-Server (am Hauptstandort) läuft immer und hat eine statische IP.
    Der VPN-Client muss dann so konfiguriert werden, dass der Tunnel automatisch (z.b. nach der 24h Zwangstrennung) wieder aufgebaut wird. Geht das?

    Grüße



  • @speedy-luis:

    Nur was meinst du damit:

    Das Problem, die Erreichbarkeit zu gewährleisten, hat die andere Seite, der VPN-Server.

    Der VPN-Server (am Hauptstandort) läuft immer und hat eine statische IP.
    Der VPN-Client muss dann so konfiguriert werden, dass der Tunnel automatisch (z.b. nach der 24h Zwangstrennung) wieder aufgebaut wird. Geht das?

    Ja, ich meinte die Konfiguration am VPN Server. Anfangs war ja nicht klar, ob hinterm Speedport der Server oder der Client sitzt.

    Meines Wissens baut der Client die Verbindung schon automatisch wieder auf. Damit habe ich aber keine Erfahrung.
    Es gibt aber hier im Board schon einige Threads dazu. Ich habe gelesen, die Funktion "State Killing on Gateway Failure" in System: Advanced: Miscellaneous soll nicht angehakt sein, sonst gibt es Probleme nach einem Verbindungswechsel.


Log in to reply