Site to Site VPN - Anfängerfrage WWW-last nicht über VPN



  • Moin ;)

    Ich bin neu hier, also erstmal Hallo ;)

    Ich habe vor mehrere Firmenstandorte per VPN Tunnel zu vernetzen, jetzt hab ich aber ne grundlegende Frage dazu, und zwar, wenn ich jetzt angenommen an einem Standort einen Tunnel in die Zentrale öffne, läuft mir dann auch der gesamte Datenverkehr (www, ect…) auch über diesen Tunnel? bzw. wie selektiere ich das ?

    Hab ein paar Watchguard Fireboxen zusammen gekauft, X700 und X550e die werden an den Standorten verteilt - da aber z.b. ein Standort eine 250Mbit Anbindung hat und ein anderer nur 150Mbit und die Zentrale sogar mit 30 Mbit auskommen muss wäre das nun lästig wenn die Standorte für WWW und sonstige Dienste nun den Tunnel nutzen und das Internet der Zentrale in die Knie zwingen,...



  • Hallo,

    bei OpenVPN kann man durch expliziete Angabe den gesamten Client-Traffic durch den Tunnel routen. Standardmäßig wird das bei OpenVPN aber nicht gemacht.

    Dokumentation: http://openvpn.net/index.php/open-source/documentation/howto.html#redirect

    Mit IPSec kenn ich mich leider nicht so aus, aber ich nehme an, dass es dort ähnlich laufen wird…

    Gruß



  • Routing all client traffic (including web-traffic) through the VPN

    Overview

    By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN.

    Danke :)

    Ich hab mir einige Stunden Videomaterial angesehen und mich auch eingelesen, nur den Satz hab ich nicht selbst gefunden shame on me danke nochmal :)



  • jetzt noch eine Frage,

    Einer der ISP Zugänge hat einen Router vom ISP, und da ich dort nen privaten Anschluss habe, ist nix mit öffentlicher IP hinterm Router,..

    allerdings habe ich Zugang zum Router kann also Portforwarding betreiben,

    d.h. alles was an dem ISP Router ankommt kann ich an pfsense mit lokaler IP weiterleiten, hinaus zu machts ja keinen unterschied da der router ja sowieso alles rausschickt was vom pfsense kommt

    oder hab ich da jetzt nen Gedankenfehler

    welche Ports nutzt ein VPN Tunnel dann?! und was passiert wenn mehrere VPN Tunnel genutzt werden?

    Sicherheitsrelevant ist es ja nicht, der pfsense kommt nach dem Router und schützt damit alle Clients - nur kann ich dann keinen client mehr vor die pfsense hängen der sagen wir mal die volle Bandbreite nutzen soll und nicht ins VPN muss,..

    nachtrag,..
    hab gerade gesehen dass ich den IPS Router in den Bridgemode schalten kann - dann wäre das problem mit dem port forwarding erledigt, jedoch muss dann die Workstation die die volle Bandbreite nutzen soll hinter dem pfsense hängen und ich weiß nicht ob ne Watchguard firebox X700 oder X550e mit pfsense 250Mbit im LAN <-> WAN schafft ?!


  • LAYER 8 Moderator

    welche Ports nutzt ein VPN Tunnel dann?! und was passiert wenn mehrere VPN Tunnel genutzt werden?

    Das kommt auf das VPN an. Und selbst dann ist es oft genug konfigurabel. Default bei OpenVPN bspw. ist 1194/udp.

    Sicherheitsrelevant ist es ja nicht, der pfsense kommt nach dem Router und schützt damit alle Clients - nur kann ich dann keinen client mehr vor die pfsense hängen der sagen wir mal die volle Bandbreite nutzen soll und nicht ins VPN muss,..

    Warum sollte ich auch einen Client vor die pfSense hängen? Wer via VPN irgendwo hin geht, kann ich auf der pfSense regeln, ansonsten sind irgendwelche "stark spürbare" Performance Verluste durch Doppel-NAT usw. meiner Erfahrung nach Mythen. Ich habe selbst im HomeLabor einen Kabelanschluß und kann den Router nicht "weghexen", betreibe somit die pfSense hinter einer KabelBox mit DoppelNAT (weil ich keine Lust habe, dass der Provider über seine Box den Aufbau meiner Netze erfahren kann) und habe trotzdem die volle Bandbreite von ~150MBit zur Verfügung wenn ich sie brauche. Schneller wirds nicht, auch nicht, wenn ich mich direkt hinter das Kabel-Device hänge.

    Bridge Modus

    Ja das würde die DoppelNAT und Weiterleitung sparen. Ob die Watchguards da so super für geeignet sind, kann ich dir nicht beantworten, da ich persönlich (subjektiv) es nicht so gern habe, Hardware von anderen Appliances/Firewalls zu recyclen und mich dann mit deren Problemchen rumzuärgern. Ich nutze an der Stelle lieber Hardware, die mit pfSense ordentlich funktioniert und Performance und Durchsatz passend liefern können. :)

    Grüße



  • danke für die Antworten ;)

    hab die Fireboxen nun mal gelflashed und eine arbeitet schon brav an einem Standort,.. heute will ich mal versuchen den ersten "Aussenposten" mit der Zentrale zu verbinden,..

    was nun nehmen IPsec oder OpenVPN?

    4-6 fixe Standorte  inkl Zentrale und vl noch ein paar Road Warriors/Mobile Clients (Notebooks / Tablets)

    bekommen vl bald CITRIX XEN Server dann bleiben die Daten zu 100% in der Zentrale und das minimiert auch die Bandbreiten - vorallem ein Standort ist mit 2Mbit wirklich sehr schwach versorgt - da habe ich schon bedenken bei einem IP Telefon und einer WS ^^


  • LAYER 8 Moderator

    was nun nehmen IPsec oder OpenVPN?

    Persönliche Meinung: Wenn du beide Enden selbst kontrollierst und wenig spezifische Anforderungen hast, nimm OpenVPN, ist (oft genug) einfacher zu konfigurieren und macht im Normalfall weniger Ärger.



  • Auch ich würde, wenn ich die Wahl hätte, Openvpn nutzen.
    IPSec ist meiner Meinung nach, ne richtige Diva, vorallem wenn du einen Tunnel mit unterschiedlichen Geräten (Hersteller) aufbauen musst, zickt IPSec nur rum.

    Openvpn dagegen verzeiht dir so einiges (z.b temp. Verbindungsabbrüche)


Log in to reply