OpenVPN Site to Side

RudiOnTheAir

Moin

Ne kurze Frage zum Thema VPN…

Habe vor 3 Standorte miteinander zu vernetzen. Konkret steht am Standort 1 ein Server mit einer speziellen Anwendung zur Türsteuerung.

Dort sind im lokalen Netz diverse Türen via Netzwerk verbunden.

192.168.101.0/24

Jetzt sollen an zwei weiteren Standorten auch Türen gesteuert werden. Mein Plan ist jetzt an jedem Standort eine APU hinzustellen. Am Serverstandort 1 kann via Portfw 1194UDP die Pfsense erreicht werden von aussen.

An den anderen Standorten soll die PFSense als Client sich einwählen und die Türen die Verbindung zum Server ermöglichen. Jede Tür hat einen Controller mit fester IP.

Frage(n).

Gehen alle Clients durch die 1194 zum OpenVPN Server.? Oder muss das Portmässig getrennt werden.

Dürfen die Standorte 2 + 3 das selbe Subnetz haben, so das die Türen von Standort 1 die 192.168.101.10-50 und von den anderen Standorten 51-80 bzw. 81-100 erhält.

Welche OpenVPN Spielart führt zu Ziel.??

--

Rüdiger

rubinho

Hallo Rüdiger

Du musst für alle 3 Standorte unterschiedliche Netzranges anlegen, sonst klappts mit dem Routing nicht.

Wenn du den IP Adressbereich 192.168.101.x unbedingt an den Standorten behalten willst, musst du Diesen aufsplitten.
In deinem Fall wären das 4 Teilnetze mit /26er Subnetmaske. Was aber nicht gerade Sinnvoll ist, wegen der geringen Anzahl der Hosts (62) pro Netz.

Zum Thema VPN…
Da es zwei Site2Site bzw. Lan2Lan Anbindungen zu unterschiedlichen Netzen sind, benötigst du 2 Server Ports (1194/1195) am Hauptstandort.

Gruß
Rubinho

RudiOnTheAir

OK, dann vergebe ich das getrennt. 101, 102, 103 usw..

Hauptsache die Geräte der Standorte 2 + 3 erreichen den Server, und umgekehrt. Der Server muss die Geräte auch erreichen können.! ! !

DHCP an 2 + 3 wird eigendlich nicht gebraucht. Aber für den Service ist es ja schicker, wenn ein Notebook ne IP und GW erhält..

So möglich.??

Bis jetzt nutze ich die "Roadwarrior" Funktion mit OpenVPN Client am PC, und da wird das auch so gehandhabt.

RudiOnTheAir

@rubinho:

Zum Thema VPN…
Da es zwei Site2Site bzw. Lan2Lan Anbindungen zu unterschiedlichen Netzen sind, benötigst du 2 Server Ports (1194/1195) am Hauptstandort.

BTW.
Dann sind auch zwei VPNServer  unter pfsense/vpn_openvpn_server.php anzulegen.?

Was hat es mit dem Site to Multisite auf sich.?  Das hab ich zumindest schonmal gelesen…;)

orcape

Hi,

Dann sind auch zwei VPNServer  unter pfsense/vpn_openvpn_server.php anzulegen.?

Am Hauptstandort, wo Du den Server hast, lässt Du zwei OpenVPN-Serverinstanzen laufen (Port 1194, 1195, etc.), Firewallrules am WAN, LAN, OpenVPN und entsprechende Route zum Server pushen.
Pull auf den OpenVPN-Client pfSense.

Was hat es mit dem Site to Multisite auf sich.?  Das hab ich zumindest schonmal gelesen..

Wäre dann eine Verbindung der Clientstandorte untereinander möglich. (Multiclienttunnel)
Da brauchst Du dann nur eine Serverinstanz.(also Port 1194 z.B.)
Ist aber auch möglich, bei 2 Tunneln, mit entsprechenden Rules und zusätzlichen Einträgen in der Config des Servers, beide Client-Netze zu verbinden. Ist halt nur etwas mehr Konfigurationsarbeit.
Gruß orcape

RudiOnTheAir

Und wieviele Serverinstanzen verträgt so eine APU.? http://www.pcengines.ch/apu1d4.htm

orcape

Und wieviele Serverinstanzen verträgt so eine APU.

…keine Ahnung, aber sicher jede Menge.
Wird dann irgendwann ein Problem mit der CPU, weil da doch mit der Verschlüsselung einiges zu rechnen ist.
Bei mir laufen zur Zeit 4, allerdings auf dem etwas schwachbrünstigeren ALIX.

rubinho

Ich habe auf meiner APU 4 OVPN und 4 IPSec Tunnel plus eine OVPN Access Server Instanz und einen Sixxs IPV6 Tunnel am laufen.
Zudem kommt noch Squid (als Transparentproxy) und Squidguard dazu.

90% der Zeit dümpelt meine PFS APU nur so vor sich hin. Nur wenn Traffic über Squid auf die Leitung kommt (32Mbit KDG Anschluss), muss sie etwas abeiten.
Ausserdem benötigt so ein OVPN-Tunnel nur unter Last Rechenpower und da der Traffic im Allgemeinen durch die jeweilige Uploadbandbreite der Internetanschlüsse limitiert ist, ist das bei den Meisten vernachlässigbar.

RudiOnTheAir

Ja, der Traffic über diese Verbindung ist minimal. Ein Schliesssystem. Also ab und zu mal ein paar Pakete mit irgendwelchen ID's oder sowas…