IPSEC GRE PWE3 pseudowire



  • Hallo Ich möchte zwischen 2 Standorten ein Transparenten Tunnel einrichten. Mein Problem besteht darin, das komplett auf Das Firmennetzwerk zugegriffen werden soll. Die Clients am Externen Standort sollen ip Adressen aus dem Firmennetzwerk bekommen.  Bei Cisco heisst diese Funktion pseudowire, oder MLPS. kann ich das auch mit der pfSense realisieren?
    unser Netz sieht zu Zeit so aus:

    Firmenstandort:
    192.168.0.0 /16

    Die Aussenstelle soll Adressen per DHCP vom Firmenstandort bekommen.

    Der Tunnel soll transparent sein, da der DHCP Server aus dem Firmennetzwerk vergeben soll, Die MAC Adressen der Aussenstelle sollen ebenfalls über den Tunnel übertragen werden, da über MAC bzw. IP Adressen die Berechtigung des Gatways geregelt wird.

    Ein Subnetz ausserhalb des Firmennetzwerks ist nicht möglich da es Sich dabei um eine fertig vorkonfigurierte Serverlösung handelt. Anpassungen ausserhalb des Subnetzes sind nicht möglich.

    vielen Dank im voraus

    Stephan



  • Hallo Ich möchte zwischen 2 Standorten ein Transparenten Tunnel einrichten.

    Das an für sich alleine sollte kein Thema sein.

    Mein Problem besteht darin, das komplett auf Das Firmennetzwerk zugegriffen werden soll.

    Via VPN ja auch eigentlich kein Thema, wenn die VPN Verbindung steht, kann man in
    der Regel auf alle Geräte zugreifen die sich in dem entfernten Netzwerk befinden.

    Die Clients am Externen Standort sollen ip Adressen aus dem Firmennetzwerk bekommen.

    Das ist eigentlich ein NoGo für solche Szenarien, dann lieber ein BGP Netzwerk aufbauen und sich
    einmal mit dem ISP auseinander setzen.

    Bei Cisco heisst diese Funktion pseudowire,

    Ja aber das ist eigentlich egal, denn das Netzwerk wird sehr instabil laufen und
    bei nur einem Fehler liegt das gesamte Netzwerk lahm.

    Diese oder solche Funktionen werden aber meist auch in Verbindung mit einer T1 bis T3 Leitung
    genutzt und dort wo Cisco zu Hause ist sind 1 GBit/s Verbindungen an der Tagesordnung und nicht
    die seltene Ausnahme und das auch noch von mehreren Providern.

    oder MLPS.

    Das ist dann noch einmal eine gnaz andere Sache!!!
    Denn MLPPP (MPLS) muss von zwei Seiten unterstützt werden;

    • von Deinem Router / Deiner Firewall
    • von Eurem ISP muss dieser Dienst dann auch angeboten werden
      Und so etwas lassen sich die ISPs richtig fett bezahlen!

    kann ich das auch mit der pfSense realisieren?

    Mit adäquater Hardware sollte das schon laufen, nur bitte jetzt nicht mit einem
    Alix oder Alix APU Board ankommen oder aber einem kleinen ausrangierten PC.

    Das sollte dann schon etwas in der Richtung von einem Xeon E3 oder Xeon D-1540
    gehen und man sollte dann auch schon Hardware einsetzen die es einem erlaubt
    so eine VPN Verbindung zu unterstützen wie zum Beispiel Exar DX-1700 oder 2040.

    unser Netz sieht zu Zeit so aus:
    Firmenstandort:
    192.168.0.0 /16

    Erkundige Dich mal über BGP und sicherlich kann man da mittels OpenBGPD oder Quagga
    auch etwas machen um so etwas zu realisieren.

    Die Aussenstelle soll Adressen per DHCP vom Firmenstandort bekommen.

    Wie sieht es denn mit Eurer Internetverbindung aus.

    Der Tunnel soll transparent sein, da der DHCP Server aus dem Firmennetzwerk vergeben soll, Die MAC Adressen der Aussenstelle sollen ebenfalls über den Tunnel übertragen werden, da über MAC bzw. IP Adressen die Berechtigung des Gatways geregelt wird.

    Also wenn das nicht alles super schnelle Hardware ist und ich meine damit auch die gesamte
    Infrastruktur vom Switch bis hin zum Server, sollte man so etwas nicht machen.
    Daten werden durch das Internet geroutet und bei so einer großen Layer2 Geschichte
    würde ich das nicht machen wollen.

    Ein Subnetz ausserhalb des Firmennetzwerks ist nicht möglich da es Sich dabei um eine fertig vorkonfigurierte Serverlösung handelt. Anpassungen ausserhalb des Subnetzes sind nicht möglich.

    Das wäre das erste Mal das ich so etwas seit den 70er Jahren höre. Tut mir leid aber das sehe ich nicht so.

    Ich würde einfach zwei IP Netze auf beiden Seiten aufspannen und dann via IPSec VPN
    oder aber OpenVPN verbinden wollen und auf beiden Seiten via VLANs arbeiten, fertig.

    Und da kann dann trotz alle dem jeder aus der zentrale auf alle Geräte in der Filiale zugreifen.


  • Moderator

    Oder Frank einfach zusammengefasst:

    NEIN. Tu's einfach nicht. Es ist für die meisten Einsatzzwecke einfach totaler Unsinn und oft auf schlechte oder unsinnige Planung zurückzuführen. Man braucht an entfernten Standort(en) nicht das gleiche Netz wie lokal. Es gibt keinen sinnvollen logischen Grund um das zu müssen. Außer dass man sich Probleme en masse ins Haus holt wenn ein kleines Puzzleteil nicht richtig arbeitet. Macht freiwillig kein Mensch, und das kann ich sowohl aus kleineren Betrieben wie auch richtig großen Betrieben sagen.

    Ein Subnetz ausserhalb des Firmennetzwerks ist nicht möglich da es Sich dabei um eine fertig vorkonfigurierte Serverlösung handelt. Anpassungen ausserhalb des Subnetzes sind nicht möglich.

    Das ist meistens totaler Bullshit des Herstellers der sich einfach mit "Arsch an die Wand" absichern möchte weil er irgendwelchen Mist hardgecoded hat oder nicht ändern/anfassen will (oder nicht getestet hat). Da stimme ich Frank ebenso zu, das ist das erste Mal dass ich sowas höre.

    Xeon E3 oder Xeon D-1540

    Sofern es ne halbwegs potente Kiste ist, die Intels QuickAssist und AES-NI unterstützt, gibts mit Gigabit via VPN und pfSense 2.2 eigentlich keine Probleme. Gigabit wird ja mit den neuen 2758er Atom Kisten schon (fast) erreicht, da schafft das ein Xeon E3 locker.

    Die Aussenstelle soll Adressen per DHCP vom Firmenstandort bekommen.
    Der Tunnel soll transparent sein, da der DHCP Server aus dem Firmennetzwerk vergeben soll, Die MAC Adressen der Aussenstelle sollen ebenfalls über den Tunnel übertragen werden, da über MAC bzw. IP Adressen die Berechtigung des Gatways geregelt wird.

    Nein, nein und nein. Klar kann man sowas hinpfuschen, aber funktioniert auch nur innerhalb der gleichen Broadcast Domäne. Und Layer 2 Bridging VPN (via IPSEC oder OVPN) ist einfach dreckig. Da braucht nur ein Hanswurst auf einer Seite Mist zu bauen, dann hast du duplicate IPs und weißt nicht mal warum weil du die Seiten nicht gleichzeitig im Blick hast. Wunderst dich aber wo deine Probleme herkommen. BAH!

    Sorry Stephan, aber der Rat ist definitiv NEIN. Nicht weil pfSense es nicht könnte, sondern weil es einfach unsinnig ist. Im aller äußersten Notfall lasse ich mich noch dazu hinreißen und mache NAT nach dem VPN Tunnel, NATte also Clients von der Gegenseite in mein Netz rein. Aber alles andere - nein.

    Grüße



  • Danke für die Erklärungen, nur meine Frage wurde damit nicht beantwortet. Ich möchte gerne wissen, wie ich das realisieren kann, einen transparenten Tunnel mit der pfSense aufzubauen, um die beiden Standorte miteinander zu verbinden. An beiden Standorten befindet sich eine pfSense. Das es nicht die besste Lösung ist weis ich selber.


  • Moderator

    Das es nicht die besste Lösung ist weis ich selber.

    Offensichtlich aber nicht genug, denn sonst würdest du nicht zwischen den Zeilen lesen, sondern das was wir schreiben. Es geht nicht. Was funktioniert ist, dass die einzelnen Seitenteile genattet werden, nennt sich NAT via IPSEC etc. womit dann aber die jeweiligen Seiten aus der Sicht des anderen Netzes andere IPs haben und eben nicht die gleichen wie du willst.
    Siehe u.a. https://doc.pfsense.org/index.php/NAT_with_IPsec_Phase_2_Networks

    Sorry sollte das nicht klar geworden sein, nein, das ist nicht möglich. Die Logik ist simpel: KEIN OS würde verstehen, warum gerade die IP .13 bspw. jetzt nicht im lokalen Netz ist, sondern im entfernten Netz hinter VPN steht. Woher soll es das auch sehen? Es würde also ein Broadcast/ARP Package rausgehen und keine Antwort geben, da es lokal keinen Client mit .13 gibt. Der Request würde aber eben nie zum Router laufen, weil er als lokal behandelt wird.

    Gruß



  • Es gibt aber von T-Systems die Möglichkeit einen Router zu bekommen, der alle Broadcast/ARP Pakete annimmt und die durch einen Tunnel schickt und auf der anderen Seite diese rausgibt, so als wenn beide Standorte an einer physikalischen Switch hängen. Bei Lancom soll das auch möglich sein, das der Router die Arp/Broadcast pakete in den Tunnel packt uns sie an der anderen Seite wieder raus gibt. (Pseudowire) meine Frage ob man das mit der Pfsense realisieren kann, das der ARP/ Broadcast über einen Tunnel geschickt wid.



  • Hi,

    Es gibt aber von T-Systems die Möglichkeit einen Router zu bekommen, der alle Broadcast/ARP Pakete annimmt und die durch einen Tunnel schickt und auf der anderen Seite diese rausgibt, so als wenn beide Standorte an einer physikalischen Switch hängen.

    Das kannst Du einfacher haben, wenn Du Layer2 meinst…
    ....dann bastel Dir einen OpenVPN-Tunnel, mit dem TAP-Device zwischen beiden Standorten.
    Mach beidseits gleiche Netze und heitze den ganzen Broadcast-Traffic mit über den Tunnel.....
    ....mit den ganzen Nachteilen, die das mit sich bringt, musst Du dann leben.
    Gruß orcape


  • Moderator

    OpenVPN mit TAP ist aber m.W. ebenso unter pfSense nicht supported eben aus den genannten Gründen - weil es nur Probleme produziert sowas zu bauen.

    @stkoepp: Mit "aber andere machen das auch" wird das gewünschte Konstrukt leider auch nicht sinnvoller. Nur weil andere Hersteller Unfug verbauen, müssen es nicht alle nachmachen. Es gibt auch tolle "WAN Beschleuniger", die - zumindest hat mir bislang noch keiner was anderes bewiesen/gezeigt - nichts anderes als ein bisschen Cache Proxy und Kompression machen. Trotzdem werden die teilweise angepriesen, als wären sie die geilste Erfindung seit Geschnitten Brot und man könne damit seine Leitung verdoppeln oder gar verdreifachen!

    Sorry, dass ich die hier keine Hoffnungen machen kann. Ich verstehe deine Lage, dass das gemacht werden soll/muss, weil andere das so diktieren (die ggf. schlichtweg keine Ahnung oder gefährliches Halbwissen haben). Dass du das ausbaden musst, da fühle ich mit dir. Aber wie gesagt, das macht die initiale Aussage des Software Herstellers nicht sinnvoller (alle Clients müssen im gleichen Netz sein) oder die augenscheinliche "Lösung" (VPN mit gleichem Subnetz) nicht besser.

    Grüße