Jun 23, 2021

3322

Site2Site VPN Verbindung mit pfSense

Hallo zusammen,

da ich leider bei der letzten Thematik gänzlich gescheitert bin, ist mir eine deutliche bessere Idee gekommen, eine dauerhafte VPN Verbindung darzustellen.
Der ursprüngliche Gedanke bzw. Verwendungszweck lag darin, dass ich möchte, dass alle Clients am Standort A im Firmennetzwerk sind, ohne Benutzerinteraktion - abgesehen vom Einschalten des PC's.

Ich habe bereits super zahlreiche und qualifizierte Hilfe von @Dani @aqui und vielen weiteren bekommen und hoffe, dass diese hier auch fleißig weiter machen. :-P
Ich eröffne ein neues Thema dazu, weil es nicht mehr wirklich zum alten Thementitel passt.

Ich habe folgende Ausgangssituation:
Standort A: Eine Lagerhalle mit 4 PC's, 1 Packtisch, 2 Kassentablets, 1 Kassenserver, 2 Kamera-NVR und 4 Drucker (2xNetzwerkdrucker, 1xBluetooth & 1xUSB Drucker) + Fritzbox 7590
Standort B: virtuell, gemieteter Rootserver (Server1) bei Netcup mit AD-Diensten.

Meine Idee: Bei netcup eine kleine VM mieten (Server 2), auf der ich pfSense installiere und diese dann per vLAN mit o.g. Server 1 verbinde. So würde der DC nicht den Gefahren des öffentlichen Netzes ausgesetzt sein und sich nur lokal um Subnetz der pfSense befinden.
Bei Standort A würde ich einen 10" oder 19" Serverschrank hinsetzen, in den ich dann ein Routerboard o.Ä. und einen Switch reinpacke.

Die Fritte würde ich dann an den Switch hängen und nur für IP-Telefonie nutzen.

Die pfSense würde ja direkt an die DSL-Leitung dran kommen und sich dort mit den Zugangsdaten mit dem Internet verbinden. Grundsätzlich würde diese ja dann erstmal ein normales Subnetz á la 192.168.172.0/24 erstellen für das lokale Standortnetz. Wenn ich den VPN einrichte und die pfSense bei A mit B verbinde, würde sich ja dort wieder ein neues Subnetz ergeben, für den VPN richtig? Z.B. 30.30.1.0/24

Den Clients würden dann entsprechend 2 IP-Adresse zugewiesen werden einmal die Lokale von der pfSense und die des VPN.
Funktioniert das alles so einfach und geschmeidig, wie ich mir das vorstelle, oder ist das Wunschdenken und ziemlich gruselig?

Mein Ziel: Alle Clients sollen sich dauerhaft im VPN befinden, auf alle Unternehmensressourcen zugreifen können und nur mit der öff. IP des VPN nach außen kommunizieren.

Vielen Dank im Voraus!

Grüße
Simon

Please also mark the comments that contributed to the solution of the article

Content-Key: 780190666

Url: https://administrator.de/contentid/780190666

Printed on: April 23, 2024 at 22:04 o'clock

52 Comments

Latest comment

Funktioniert das alles so einfach und geschmeidig

Jupp, das würde alles auf Anhieb problemlos funktionieren und ist ein simples Allerwelts VPN Design.

Einen kleinen kosmetischen Denkfehler hast du allerdings begangen bzw. resultiert daraus das du mit keinem Wort erwähnt hast WELCHES der zahllosen VPN Protokolle die die Firewall supportet du zur Kopplung verwenden willst.

Deshalb ist deine Aussage:

würde sich ja dort wieder ein neues Subnetz ergeben, für den VPN richtig? Z.B. 30.30.1.0/24

nur sehr bedingt richtig.

Nein = wenn es IPsec v1 oder v2 ist
Ja = wenn es OpenVPN oder Wireguard usw. ist

Nebenbei:
Ein öffentliches IP Netz wie das 30er was dir NICHT gehört solltest du intelligenterweise hier nicht verwenden sondern immer ein Subnetz aus dem klassischen RFC 1918 Bereich der HIER.

Du müsstest auch nicht zwingend in Mehrkosten stürzen und eine zusätzliche Firewall am Standort A einsetzen. Die FritzBox spricht IPsec als VPN und ist damit vollkommen VPN kompatibel zur pfSense/OPNsense in deinem vServer.
Wenn du also mit der etwas mickrigen VPN Bandbreite der FritzBox leben kannst, musst du dort gar nichts verändern sondern lässt die Fritze lediglich einen Site-to-Site IPsec Tunnel zur Firewall auf der Serverseite aufbauen. 😉
Spart Kosten, Aufwand und funktioniert ebensogut. Infos dazu zeigt dir dieser_Thread.
Der Rest ist "perfectly OK" aber du solltest im Standort B 2 VMs laufen lassen einen mit der Firewall und einen mit dem AD Server !

Zitat von @aqui:

Funktioniert das alles so einfach und geschmeidig

Jupp, das würde alles auf Anhieb problemlos funktionieren und ist ein simples Allerwelts VPN Design.

Okay, klingt ja schonmal gut.

Einen kleinen kosmetischen Denkfehler hast du allerdings begangen bzw. resultiert daraus das du mit keinem Wort erwähnt hast WELCHES der zahllosen VPN Protokolle die die Firewall supportet du zur Kopplung verwenden willst.

Deshalb ist deine Aussage:

würde sich ja dort wieder ein neues Subnetz ergeben, für den VPN richtig? Z.B. 30.30.1.0/24

nur sehr bedingt richtig.

Nein = wenn es IPsec v1 oder v2 ist
Ja = wenn es OpenVPN oder Wireguard usw. ist

Ich habe noch nie mit pfSense gearbeitet und habe daher leider absolut keine Ahnung, welche Protokolle es unterstützt. Aber wäre es nicht administrativ einfacher, wenn ich IPSec nutze und ich alle Geräte über ihre, aus dem lokalen Subnetz verteilte, IP-Adresse ansprechen kann.

Nebenbei:
Ein öffentliches IP Netz wie das 30er was dir NICHT gehört solltest du intelligenterweise hier nicht verwenden sondern immer ein Subnetz aus dem klassischen RFC 1918 Bereich der HIER.

Ups, wusste nicht, dass das ein öffentliches IP-Netz ist. Schande auf mein Haupt!

Du müsstest auch nicht zwingend eine Firewall am Standort A einsetzen. Die FritzBox spricht IPsec als VPN und ist damit VPN vollkommen kompatibel zur pfSense in deinem vServer.
Wenn du also mit der etwas mickrigen VPN Bandbreite der FritzBox leben kannst must du dort rein gar nichts verändern sondern lässt die lediglich einen Site-tp-Site Tunnel zur Firewall auf der Serverseite aufbauen. Spart Kosten, Aufwand und funktioniert ebensogut.

Aber die Bandbreite soll ja wirklich sehr schlimm sein. Ich würde gerne Software über den VPN Verteilen, Netzlaufwerke zur Verfügung stellen etc.

Der Rest ist "perfectly OK" !

Okay, klingt gut.

Ich habe noch nie mit pfSense gearbeitet und habe daher leider absolut keine Ahnung

Kostenlosen Virtualisierer wie z.B. Virtual_Box auf deinem Rechner installieren und dort ein pfSense oder OPNsens Image mal drauf laufen lassen.

Damit kannst du doch, ohne jegliche Kosten, vorab schon mal üben und dich schlau machen. Und so (d)ein laufendes Setup wasserdicht ausprobieren was du nachher in dein Live Setup übernimmst.
Einfacher gehts ja nun nicht mehr und da wäre doch jeder IT Laie auch selber draufgekommen !

wenn ich IPSec nutze und ich alle Geräte über ihre, aus dem lokalen Subnetz verteilte, IP-Adresse ansprechen kann.

Du machst auch hier vermutlich einen Denkfehler. Das ist ja immer der Fall das du IMMER die Endgeräte IPs ansprichst oder Hostnamen zu diesen IPs. Egal ob du ein dediziertes IP Koppelnetz zwischen den Lokationen hast oder nicht.

Aber die Bandbreite soll ja wirklich sehr schlimm sein.

Hängt vom jeweiligen Modell ab.... Guckst du hier: https://www.heise.de/select/ct/2018/22/1540270249088029/ct.2218.176-178. ...

Zitat von @aqui:

Ich habe noch nie mit pfSense gearbeitet und habe daher leider absolut keine Ahnung

Kostenlosen Virtualisierer wie z.B. Virtual_Box auf deinem Rechner installieren und dort ein pfSense oder OPNsens Image mal drauf laufen lassen.

Okay, wird gemacht, Chef!

wenn ich IPSec nutze und ich alle Geräte über ihre, aus dem lokalen Subnetz verteilte, IP-Adresse ansprechen kann.

Ich würde jetzt sagen, dass ich es verstanden habe, habe ich aber nicht. Hast du ein bisschen Lesestoff für mich an der Hand?

Aber die Bandbreite soll ja wirklich sehr schlimm sein.

Hängt vom jeweiligen Modell ab.... Guckst du hier: https://www.heise.de/select/ct/2018/22/1540270249088029/ct.2218.176-178. ...

Das sieht doch ganz ordentlich aus und reicht eigentlich für die entsprechenden Bedürfnisse, würde ich jetzt adhoc sagen.

Hallo,

nur mal kurz der Hinweis das Netzwerk 30.30.1.0/24 gehört dem DoD Network Information Center, wobei hier DoD für Department of Defense (Verteidigungsministerium der USA) steht

brammer

Hast du ein bisschen Lesestoff für mich an der Hand?

Aber immer doch... 😉
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit OpenVPN
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Bzw. für mobile Clients auch:
Scheitern am IPsec VPN mit MikroTik
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

und reicht eigentlich für die entsprechenden Bedürfnisse

Je nachdem was für eine FB da im Standort A bei dir werkelt sollte die 10 Mbit plus/minus schaffen. Es reicht ja erstmal zum Starten und Erfahrungen sammeln und Kosten zu sparen.
Sollte die VPN Bandbreite nicht reichen, kannst du da ja immer noch ein APU4 oder IPU-450 mit pfSense oder OPNsense hinstellen oder ein Mikrotik RB3011 oder RB4011. 😉

hier DoD für Department of Defense (Verteidigungsministerium der USA) steht

Holla die Waldfee ! Das war ein Volltreffer 💣 ! Wenn sie @bluelight da erwischen beim Kapern ihrer IP Adressen hilft ihm nichtmal mehr die Bundeskanzlerin... 🤣

Zitat von @brammer:

Hallo,

nur mal kurz der Hinweis das Netzwerk 30.30.1.0/24 gehört dem DoD Network Information Center, wobei hier DoD für Department of Defense (Verteidigungsministerium der USA) steht

brammer

Huch, das ist ja echt ein Volltreffer!

@aqui

hier DoD für Department of Defense (Verteidigungsministerium der USA) steht

Holla die Waldfee ! Das war ein Volltreffer 💣 ! Wenn sie @bluelight da erwischen beim Kapern ihrer IP Adressen hilft ihm nichtmal mehr die Bundeskanzlerin... 🤣

Warum sollte Frau Merkel oder ihr Nachfolger helfen? Er macht doch nur Urlaub im Ferienlager auf Kuba (Guantanamo) 😆

Ich richte gerade auf der pfSense die Netzwerkinterfaces ein und wollte eine statische IPv4 und v6 Adresse vergeben.
Bin gerade so halbwegs durch das Thema IPv4 durchgestiegen und wollte jetzt die IPv6 Adresse aus vergeben aber bin ein wenig confused.

Bei netcup habe ich ja eine zugewiesene IPv6 Adresse allerdings passt die doch überhaupt nicht zum Subnet?! Sagt mir die pfSense btw auch, wenn ich die dort so vergeben möchte. Müsste die nicht eigentlich auch mit fe80 anfangen??

Kann mich mal einer aufklären?

Müsste die nicht eigentlich auch mit fe80 anfangen??

Oha, da scheitert es wieder an den Basics. Für ein Administrator Forum solltest du dir wirklich mal ein wenig Grundlagen anlesen, wenigstens die wichtigsten.
FE80: Adressen sind Link Local Scope Adressen gelten also rein nur für das Segment und vergeben sich die Interfaces selber. Ist im IPv4 Bereich sowas wie die Zeroconf Adressen 169.254.x.y. und werden immer automatisch vergeben !
Bei IPv6 haben Interfaces immer mehrere Adressen. Normal bekommt man eine Provider Adresse automatisch per DHCPv6 und Prefix Delegation an einem Provider Dual Stack Anschluss. Mit anderen Worten: Am WAN brauchst du nur die DHCPv6 Vergabe einstellen was m.E. eh Default ist.

Tip:
IPv6 Grundlagen lesen und verstehen. Eine sehr gute und kostenlose Lektüre für Anfänger ist hier zu finden:
https://danrl.com/ipv6/

Ach @aqui, was würde ich nur ohne dich tun. ❤️

Danke für Infos!
Gibt schlimmere Fälle als mich a la Wie richtet man SSH-Key Auth ein. 😂

Ich lerne noch. Bin ja kein alter IT-Hase

Uuuund weiter gehts. Ich habe einen IPsec VPN eingerichtet um diesen mit der F!B zu connecten. Läuft nicht.

Log in der FritzBox sagt: IKE-Error: 0x2027
Log der pfSense sagt:

Jun 25 22:14:09	charon	41978	14[IKE] <con100000|8> IKE_SA con100000[8] state change: CONNECTING => DESTROYING
Jun 25 22:14:09	charon	41978	14[IKE] <con100000|8> establishing IKE_SA failed, peer not responding
Jun 25 22:14:09	charon	41978	14[IKE] <con100000|8> giving up after 5 retransmits
Jun 25 22:14:03	charon	41978	13[CFG] vici client 86 disconnected
Jun 25 22:14:03	charon	41978	09[CFG] updated vici connection: con100000
Jun 25 22:14:03	charon	41978	09[CFG] id = xxxx.ddns.net
Jun 25 22:14:03	charon	41978	09[CFG] class = pre-shared key
Jun 25 22:14:03	charon	41978	09[CFG] remote:
Jun 25 22:14:03	charon	41978	09[CFG] id = 202.61.xxx.xxx
Jun 25 22:14:03	charon	41978	09[CFG] class = pre-shared key
Jun 25 22:14:03	charon	41978	09[CFG] local:
Jun 25 22:14:03	charon	41978	09[CFG] if_id_out = 0
Jun 25 22:14:03	charon	41978	09[CFG] if_id_in = 0
Jun 25 22:14:03	charon	41978	09[CFG] proposals = IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048
Jun 25 22:14:03	charon	41978	09[CFG] rand_time = 2880
Jun 25 22:14:03	charon	41978	09[CFG] over_time = 2880
Jun 25 22:14:03	charon	41978	09[CFG] rekey_time = 0
Jun 25 22:14:03	charon	41978	09[CFG] reauth_time = 25920
Jun 25 22:14:03	charon	41978	09[CFG] keyingtries = 1
Jun 25 22:14:03	charon	41978	09[CFG] unique = UNIQUE_REPLACE
Jun 25 22:14:03	charon	41978	09[CFG] childless = 0
Jun 25 22:14:03	charon	41978	09[CFG] fragmentation = 2
Jun 25 22:14:03	charon	41978	09[CFG] dpd_timeout = 60
Jun 25 22:14:03	charon	41978	09[CFG] dpd_delay = 10
Jun 25 22:14:03	charon	41978	09[CFG] encap = 0
Jun 25 22:14:03	charon	41978	09[CFG] dscp = 0x00
Jun 25 22:14:03	charon	41978	09[CFG] aggressive = 1
Jun 25 22:14:03	charon	41978	09[CFG] mobike = 0
Jun 25 22:14:03	charon	41978	09[CFG] ppk_required = 0
Jun 25 22:14:03	charon	41978	09[CFG] ppk_id = (null)
Jun 25 22:14:03	charon	41978	09[CFG] send_cert = CERT_SEND_IF_ASKED
Jun 25 22:14:03	charon	41978	09[CFG] send_certreq = 1
Jun 25 22:14:03	charon	41978	09[CFG] remote_port = 500
Jun 25 22:14:03	charon	41978	09[CFG] local_port = 500
Jun 25 22:14:03	charon	41978	09[CFG] remote_addrs = xxxx.ddns.net
Jun 25 22:14:03	charon	41978	09[CFG] local_addrs = 202.61.229.243
Jun 25 22:14:03	charon	41978	09[CFG] version = 1
Jun 25 22:14:03	charon	41978	09[CFG] copy_dscp = out
Jun 25 22:14:03	charon	41978	09[CFG] copy_ecn = 1
Jun 25 22:14:03	charon	41978	09[CFG] copy_df = 1
Jun 25 22:14:03	charon	41978	09[CFG] sha256_96 = 0
Jun 25 22:14:03	charon	41978	09[CFG] hw_offload = no
Jun 25 22:14:03	charon	41978	09[CFG] remote_ts = 192.168.178.0/24|/0
Jun 25 22:14:03	charon	41978	09[CFG] local_ts = 10.10.0.0/24|/0
Jun 25 22:14:03	charon	41978	09[CFG] proposals = ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_2048/NO_EXT_SEQ
Jun 25 22:14:03	charon	41978	09[CFG] inactivity = 0
Jun 25 22:14:03	charon	41978	09[CFG] set_mark_out = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] set_mark_in = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] mark_out = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] mark_in_sa = 0
Jun 25 22:14:03	charon	41978	09[CFG] mark_in = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] if_id_out = 0
Jun 25 22:14:03	charon	41978	09[CFG] if_id_in = 0
Jun 25 22:14:03	charon	41978	09[CFG] interface = (null)
Jun 25 22:14:03	charon	41978	09[CFG] priority = 0
Jun 25 22:14:03	charon	41978	09[CFG] tfc = 0
Jun 25 22:14:03	charon	41978	09[CFG] reqid = 0
Jun 25 22:14:03	charon	41978	09[CFG] close_action = clear
Jun 25 22:14:03	charon	41978	09[CFG] start_action = hold
Jun 25 22:14:03	charon	41978	09[CFG] dpd_action = hold
Jun 25 22:14:03	charon	41978	09[CFG] policies_fwd_out = 0
Jun 25 22:14:03	charon	41978	09[CFG] policies = 1
Jun 25 22:14:03	charon	41978	09[CFG] mode = TUNNEL
Jun 25 22:14:03	charon	41978	09[CFG] ipcomp = 0
Jun 25 22:14:03	charon	41978	09[CFG] hostaccess = 0
Jun 25 22:14:03	charon	41978	09[CFG] updown = (null)
Jun 25 22:14:03	charon	41978	09[CFG] rand_packets = 0
Jun 25 22:14:03	charon	41978	09[CFG] life_packets = 0
Jun 25 22:14:03	charon	41978	09[CFG] rekey_packets = 0
Jun 25 22:14:03	charon	41978	09[CFG] rand_bytes = 0
Jun 25 22:14:03	charon	41978	09[CFG] life_bytes = 0
Jun 25 22:14:03	charon	41978	09[CFG] rekey_bytes = 0
Jun 25 22:14:03	charon	41978	09[CFG] rand_time = 360
Jun 25 22:14:03	charon	41978	09[CFG] life_time = 3600
Jun 25 22:14:03	charon	41978	09[CFG] rekey_time = 3240
Jun 25 22:14:03	charon	41978	09[CFG] child con100000:
Jun 25 22:14:03	charon	41978	09[CFG] conn con100000:
Jun 25 22:14:03	charon	41978	09[CFG] vici client 86 requests: load-conn
Jun 25 22:14:03	charon	41978	09[CFG] updated vici connection: bypass
Jun 25 22:14:03	charon	41978	09[CFG] remote:
Jun 25 22:14:03	charon	41978	09[CFG] local:
Jun 25 22:14:03	charon	41978	09[CFG] if_id_out = 0
Jun 25 22:14:03	charon	41978	09[CFG] if_id_in = 0
Jun 25 22:14:03	charon	41978	09[CFG] proposals = IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/3DES_CBC/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/CURVE_448/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048, IKE:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/CHACHA20_POLY1305/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/ECP_256/ECP_384/ECP_521/ECP_256_BP/ECP_384_BP/ECP_512_BP/CURVE_25519/CURVE_448/MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048
Jun 25 22:14:03	charon	41978	09[CFG] rand_time = 1440
Jun 25 22:14:03	charon	41978	09[CFG] over_time = 1440
Jun 25 22:14:03	charon	41978	09[CFG] rekey_time = 14400
Jun 25 22:14:03	charon	41978	09[CFG] reauth_time = 0
Jun 25 22:14:03	charon	41978	09[CFG] keyingtries = 1
Jun 25 22:14:03	charon	41978	09[CFG] unique = UNIQUE_NO
Jun 25 22:14:03	charon	41978	09[CFG] childless = 0
Jun 25 22:14:03	charon	41978	09[CFG] fragmentation = 2
Jun 25 22:14:03	charon	41978	09[CFG] dpd_timeout = 0
Jun 25 22:14:03	charon	41978	09[CFG] dpd_delay = 0
Jun 25 22:14:03	charon	41978	09[CFG] encap = 0
Jun 25 22:14:03	charon	41978	09[CFG] dscp = 0x00
Jun 25 22:14:03	charon	41978	09[CFG] aggressive = 0
Jun 25 22:14:03	charon	41978	09[CFG] mobike = 1
Jun 25 22:14:03	charon	41978	09[CFG] ppk_required = 0
Jun 25 22:14:03	charon	41978	09[CFG] ppk_id = (null)
Jun 25 22:14:03	charon	41978	09[CFG] send_cert = CERT_SEND_IF_ASKED
Jun 25 22:14:03	charon	41978	09[CFG] send_certreq = 1
Jun 25 22:14:03	charon	41978	09[CFG] remote_port = 500
Jun 25 22:14:03	charon	41978	09[CFG] local_port = 500
Jun 25 22:14:03	charon	41978	09[CFG] remote_addrs = 127.0.0.1
Jun 25 22:14:03	charon	41978	09[CFG] local_addrs = %any
Jun 25 22:14:03	charon	41978	09[CFG] version = 0
Jun 25 22:14:03	charon	41978	09[CFG] copy_dscp = out
Jun 25 22:14:03	charon	41978	09[CFG] copy_ecn = 1
Jun 25 22:14:03	charon	41978	09[CFG] copy_df = 1
Jun 25 22:14:03	charon	41978	09[CFG] sha256_96 = 0
Jun 25 22:14:03	charon	41978	09[CFG] hw_offload = no
Jun 25 22:14:03	charon	41978	09[CFG] remote_ts = 10.10.0.0/24|/0
Jun 25 22:14:03	charon	41978	09[CFG] local_ts = 10.10.0.0/24|/0
Jun 25 22:14:03	charon	41978	09[CFG] proposals = ESP:AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/NO_EXT_SEQ
Jun 25 22:14:03	charon	41978	09[CFG] inactivity = 0
Jun 25 22:14:03	charon	41978	09[CFG] set_mark_out = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] set_mark_in = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] mark_out = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] mark_in_sa = 0
Jun 25 22:14:03	charon	41978	09[CFG] mark_in = 0/0
Jun 25 22:14:03	charon	41978	09[CFG] if_id_out = 0
Jun 25 22:14:03	charon	41978	09[CFG] if_id_in = 0
Jun 25 22:14:03	charon	41978	09[CFG] interface = (null)
Jun 25 22:14:03	charon	41978	09[CFG] priority = 0
Jun 25 22:14:03	charon	41978	09[CFG] tfc = 0
Jun 25 22:14:03	charon	41978	09[CFG] reqid = 0
Jun 25 22:14:03	charon	41978	09[CFG] close_action = clear
Jun 25 22:14:03	charon	41978	09[CFG] start_action = hold
Jun 25 22:14:03	charon	41978	09[CFG] dpd_action = clear
Jun 25 22:14:03	charon	41978	09[CFG] policies_fwd_out = 0
Jun 25 22:14:03	charon	41978	09[CFG] policies = 1
Jun 25 22:14:03	charon	41978	09[CFG] mode = PASS
Jun 25 22:14:03	charon	41978	09[CFG] ipcomp = 0
Jun 25 22:14:03	charon	41978	09[CFG] hostaccess = 0
Jun 25 22:14:03	charon	41978	09[CFG] updown = (null)
Jun 25 22:14:03	charon	41978	09[CFG] rand_packets = 0
Jun 25 22:14:03	charon	41978	09[CFG] life_packets = 0
Jun 25 22:14:03	charon	41978	09[CFG] rekey_packets = 0
Jun 25 22:14:03	charon	41978	09[CFG] rand_bytes = 0
Jun 25 22:14:03	charon	41978	09[CFG] life_bytes = 0
Jun 25 22:14:03	charon	41978	09[CFG] rekey_bytes = 0
Jun 25 22:14:03	charon	41978	09[CFG] rand_time = 360
Jun 25 22:14:03	charon	41978	09[CFG] life_time = 3960
Jun 25 22:14:03	charon	41978	09[CFG] rekey_time = 3600
Jun 25 22:14:03	charon	41978	09[CFG] child bypasslan:
Jun 25 22:14:03	charon	41978	09[CFG] conn bypass:
Jun 25 22:14:03	charon	41978	09[CFG] vici client 86 requests: load-conn
Jun 25 22:14:03	charon	41978	07[CFG] vici client 86 requests: get-conns
Jun 25 22:14:03	charon	41978	07[CFG] vici client 86 requests: get-pools
Jun 25 22:14:03	charon	41978	13[CFG] vici client 86 requests: get-authorities
Jun 25 22:14:03	charon	41978	13[CFG] loaded IKE shared key with id 'ike-0' for: '%any', 'xxx.ddns.net'  
Jun 25 22:14:03	charon	41978	13[CFG] vici client 86 requests: load-shared
Jun 25 22:14:03	charon	41978	07[CFG] vici client 86 requests: get-shared
Jun 25 22:14:03	charon	41978	07[CFG] vici client 86 requests: get-keys
Jun 25 22:14:03	charon	41978	16[CFG] vici client 86 connected
Jun 25 22:14:03	charon	41978	07[CFG] vici client 85 disconnected
Jun 25 22:14:03	charon	41978	16[CFG] loaded 0 RADIUS server configurations
Jun 25 22:14:03	charon	41978	16[CFG] loaded 0 entries for attr plugin configuration
Jun 25 22:14:03	charon	41978	16[CFG] ipseckey plugin is disabled
Jun 25 22:14:03	charon	41978	16[CFG] vici client 85 requests: reload-settings
Jun 25 22:14:03	charon	41978	11[CFG] vici client 85 connected

Junge, junge... so langsam wirds aber haarig mit meinen VPN Versuchen

Bin nach dieser Anleitung vorgegangen.
Habe aber auch andere ausprobiert, ohne Erfolg.

Ich habe ebenfalls eine Scheunentorregel erstellt, um sicher zu gehen, dass die Firewall nichts blockt.

Zitat von @bluelight:

Uuuund weiter gehts. Ich habe einen IPsec VPN eingerichtet um diesen mit der F!B zu connecten. Läuft nicht.

Hast du die Anleitungen von Meister Aqui gelesen und verstanden?

Haarig ist nicht unbedingt das Wort, welches mir dazu in den Sinn kommt.

Bin nach dieser Anleitung vorgegangen.

Hast du dort einen Kommentar hinterlassen?

Habe aber auch andere ausprobiert, ohne Erfolg.

Einfach die Links lesen und verstehen. Ggf auch nochmal das Fachbuch aus der Ausbildung hinzuziehen und Fachbegriffe in eine Suchmaschine eingeben.

Ich habe ebenfalls eine Scheunentorregel erstellt, um sicher zu gehen, dass die Firewall nichts blockt.

Warum? Im Log wird alles protokolliert. Da muss man nix mit Starallüren einrichten.

Moin @148656,

ja, habe ich gelesen, hätte mir allerdings nichts gebracht, weil der Sever schuld war. NIC war nicht tun/tap fähig.
So weit so gut. VPN Tunnel steht.

Jetzt stehe ich vor dem nächsten Problem, dass ich eines der beiden Netze nicht anpingen/erreichen kann.
Ja, ICMP ist erlaubt.

Aufbau:

Von Client01 kann ich den DC01 anpingen, umgekehrt jedoch nicht.
Bei dem Versuch Client01 von DC01 anzupingen, habe ich die lokale Adresse der F!B genutzt, denn so funktioniert ja der IPsec VPN, wenn ich ihn richtig verstanden habe. Ist ja eine Kopplung verschiedener Subnetze.

Nach Analyse der Logs, macht mir die Firewall wohl keinen Strich durch die Rechnung. Kann es vielleicht an falschem Routing o.Ä. liegen?

Ich für ein paar Lösungsvorschläge und Ansätze super dankbar!!

Liebe Grüße
Simon

Moin Simon,

Zeig doch einfach Mal die Config von der Fritz!Box und der Sense.
Meine Glaskugel funktioniert nur bei Einwurf von großen Münzen.🤗

Gruß
C.C.

Hey,

welche Teile der Config auf der Sense möchtest du genau sehen?`
Die IPsec Config oder welche?

Gruß
Simon

F!B Config File:

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "OPNsense IPsec VPN";  
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 194.13.xx.xxx;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "dynDNS der F!B";  
                }
                remoteid {
                        ipaddr = 194.13.xx.xxx;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha";  
                keytype = connkeytype_pre_shared;
                key = "super sicherer shared key";  
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.0.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";  
                accesslist = "permit ip any 10.0.0.0 255.255.255.0";  
                app_id = 0;
        }
}

Phase 1:

Phase 2:

Grüße
Simon

Zitat von @bluelight:

Hey,

welche Teile der Config auf der Sense möchtest du genau sehen?`
Die IPsec Config oder welche?

Gruß
Simon

Dein Vorhaben besteht aus mehreren Teilen...
Der VPN-Tunnel steht. Jetzt musst du nur noch die die Routen eintragen. Deine Fritzbox kennt derzeit nur das Netz deiner VPN Verbindung. Hat jedoch keine Ahnung, dass es dort noch mehr Netze gibt.

Gruß
C.C.

Traceroute ist auch komisch. Sollte doch eigentlich direkt über die F!B gehen, da er das Remote-Netzwerk ja kennt.

TR von FW:

traceroute to 192.168.178.1 (192.168.178.1), 64 hops max, 40 byte packets
194.13.80.2 (194.13.80.2)  0.250 ms  0.343 ms  0.194 ms
ae3-4019.bbr02.anx84.nue.de.anexia-it.net (144.208.211.10)  0.478 ms  0.369 ms  0.392 ms
ae0-0.bbr01.anx84.nue.de.anexia-it.net (144.208.208.139)  3.660 ms  3.680 ms  3.576 ms

TR von DC01:

Routenverfolgung zu 192.168.178.1 über maximal 30 Hops

  <1 ms    <1 ms    <1 ms  192.145.44.2
  <1 ms    <1 ms    <1 ms  ae3-4019.bbr02.anx84.nue.de.anexia-it.net [144.208.211.10]
  14 ms     5 ms     8 ms  ae0-0.bbr01.anx84.nue.de.anexia-it.net [144.208.208.139]
   *        *        *     Zeitüberschreitung der Anforderung.

Zitat von @148656:

Zitat von @bluelight:

Hey,

welche Teile der Config auf der Sense möchtest du genau sehen?`
Die IPsec Config oder welche?

Gruß
Simon

Hey,

wieso meine F!B?
Es gibt nur ein Netz, was für die F!B relevant ist und dass ist das 10.0.0.0/24. Und das findet und routet die ja auch.
Nur die Firewall und deren Clients kennen anscheinend noch nicht das Netz der F!B.

Aber die Clients greifen auf die Ressourcen hinter der Sense zu.

dass ich eines der beiden Netze nicht anpingen/erreichen kann.

Sind das Winblows Endgeräte ??
Bedenke das deren lokale Firewall dir da immer einen Strich durch die Rechnung macht ! Das aus 2 Gründen:

Ping (ICMP Protokoll) ist im Default deaktiviert !
Die lokale Firewall lässt nur Traffic aus dem lokalen IP Netz zu. Nicht aber aus Fremdnetzen wie deine remoten VPN IP Netze.

Im Zweifel also erstmal NICHT Winblows Geräte pingen wie Drucker usw. oder die lokalen LAN IPs der Router/Firewall.
Lösung zu 1:
ICMP freigeben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Lösung zu 2:
Die IP Range der Absender IP des betreffenden Dienstes (Port) auf ANY stellen in der lokalen Firewall !
Was immer pingbar sein sollte sind die jeweiligen lokalen LAN IP Adressen der FritzBox und der OPNsense. Ist das der Fall ? Das zeigt dann das der VPN Tunnel fehlerfrei funktioniert.
Beachten das wenn du das Ping Tool der OPNsense nutzt auch die Absender IP auf die lokale LAN IP setzt !

Zitat von @148656:

Aber die Clients greifen auf die Ressourcen hinter der Sense zu.

Ja und das funktioniert ja auch?
Ich verstehe nicht was du meinst

Zitat von @aqui:

dass ich eines der beiden Netze nicht anpingen/erreichen kann.

Sind das Winblows Endgeräte ??
Bedenke das deren lokale Firewall dir da immer einen Strich durch die Rechnung macht ! Das aus 2 Gründen:

Ping (ICMP Protokoll) ist im Default deaktiviert !
Die lokale Firewall lässt nur Traffic aus dem lokalen IP Netz zu. Nicht aber aus Fremdnetzen wie deine remoten VPN IP Netze.

Hallo Chef!,

der Ping von der pfSense auf die F!B und Geräte dahinter klappt mittlerweile - Lösung: Neustart der F!B + pfSense.
Jetzt komme ich lediglich nicht mit dem DC01 an die F!B oder deren Clients dran.

Gruß
Simon
### Nachtrag ###
Auch das geht jetzt, ohne dass ich irgendetwas verändert habe.

Auch das geht jetzt, ohne dass ich irgendetwas verändert habe.

👍
Mit anderen Worten alles rennt wie es soll !

Zitat von @aqui:

Auch das geht jetzt, ohne dass ich irgendetwas verändert habe.

👍
Mit anderen Worten alles rennt wie es soll !

So gut, wie!
Jetzt muss ich es nur noch hinbekommen, dass meine Clients, ohne manuelle Konfiguration des Netzwerkadapters, den DC als primären DNS Server nutzen.
DNS Server der F!B ändern, bringt leider nicht den gewünschten Erfolg - auch wenn ich das DHCP-Lease neu anfordere via ipconfig /release & ipconfig /renew

Zitat von @bluelight:

Zitat von @aqui:

Auch das geht jetzt, ohne dass ich irgendetwas verändert habe.

👍
Mit anderen Worten alles rennt wie es soll !

Du sollst auch nicht die DNS Server der Fritzbox ändern, sondern die in den DHCP Optionen der FritzBox.

EDIT:
Noch besser wäre es einen AD-integrierten DHCP Server zu verwenden. Als einziger Server hierfür käme dein DC infrage. Das ganze scheitert allerdings daran, dass die FritzBox kein DHCP Relay unterstützt. Ein Grund, weshalb ich eher auf ein APU Board gesetzt hätte.

Ja, ich weiß

Ich wollte das über editieren der Export-CFG machen, jedoch lässt diese sich dann nicht wieder importieren, weil er die Datei nicht mehr als valide anerkennt.

### CASE SOLVED ###

Ich liebe euch so sehr!
Es hat alles geklappt.

Zur Info für die, die das selbe Problem haben: Unter Heimnetz -> Netzwerkeinstellungen könnt ihr den DNS Server einstellen, der per DHCP verteilt werden soll. Aber denkt dran, es kann nur einer verteilt werden.

Grüße
Simon

Zitat von @bluelight:
Zur Info für die, die das selbe Problem haben: Unter Heimnetz -> Netzwerkeinstellungen könnt ihr den DNS Server einstellen, der per DHCP verteilt werden soll. Aber denkt dran, es kann nur einer verteilt werden.

Das ist so eine nette Einschränkung an den FritzBüchsen

Aber da du ja nur einen internen AD-DNS betreibst, ja für dich kein Problem.

Grüße
Simon

Gruß
Alex

Zitat von @Ad39min:

Das ist so eine nette Einschränkung an den FritzBüchsen

Aber da du ja nur einen internen AD-DNS betreibst, ja für dich kein Problem.

Grüße
Simon

Gruß
Alex

Hi Alex,

ja, da hast du Recht. Aber für den Anfang tut es erstmal seinen Dienst.
Die Fritte wird demnächst sowieso abgelöst, wenn ich noch tiefer in den Themen drin bin. Dann will ich dort ein APU Board + Switch stehen haben. Der Laden wird dann mit APs ausgebaut für WLAN Roaming.

Gruß
Simon

Zitat von @Ad39min:
EDIT:
Noch besser wäre es einen AD-integrierten DHCP Server zu verwenden. Als einziger Server hierfür käme dein DC infrage. Das ganze scheitert allerdings daran, dass die FritzBox kein DHCP Relay unterstützt. Ein Grund, weshalb ich eher auf ein APU Board gesetzt hätte.

Eins nach dem anderen...

Zitat von @bluelight:

Zitat von @Ad39min:

Das ist so eine nette Einschränkung an den FritzBüchsen

Aber da du ja nur einen internen AD-DNS betreibst, ja für dich kein Problem.

Grüße
Simon

Gruß
Alex

Gute Entscheidung. Wenn deine Leute wirklich darüber produktiv arbeiten und es somit geschäftskritisch wird, solltest Du Dir dennoch Gedanken drüber machen wie Du Dein Netzwerk samt Ressourcen (AD,...) redundant ausgelegst.

Eine Frage hätte ich dennoch: Welche Vor- und Nachteile hätte ich, wenn ich den gesamten Traffic durch den VPN jagen würde. Split-Tunneling ist ja in dem Szenario am sinnvollsten, damit die Unternehmenressourcen verfügbar sind und trotzdem die Internetgeschwindigkeit nicht leidet, weil normalen Surfen.

Welchen Sinn hätte das?

Grüße
Simon

Split-Tunneling ist ja in dem Szenario am sinnvollsten, damit die Unternehmenressourcen verfügbar sind und trotzdem die Internetgeschwindigkeit nicht leidet

Du hast dir deine Frage gerade selbst beantwortet !

Zitat von @aqui:

Split-Tunneling ist ja in dem Szenario am sinnvollsten, damit die Unternehmenressourcen verfügbar sind und trotzdem die Internetgeschwindigkeit nicht leidet

Du hast dir deine Frage gerade selbst beantwortet !

Jein. In meinem Szenario jetzt, ja. Ich meine so generell. Der einzige Aspekt, der mir da gerade einfällt, ist: Mehr Privatsphäre, dann alle Kommunikation über eine IP stattfindet.

Zitat von @bluelight:

Eine Frage hätte ich dennoch: Welche Vor- und Nachteile hätte ich, wenn ich den gesamten Traffic durch den VPN jagen würde. Split-Tunneling ist ja in dem Szenario am sinnvollsten, damit die Unternehmenressourcen verfügbar sind und trotzdem die Internetgeschwindigkeit nicht leidet, weil normalen Surfen.

Welchen Sinn hätte das?

Grüße
Simon

Das hätte kaum Vorteile, eher (wie Du bereits vermutet hast) den Nachteil eines zusätzlichen Flaschenhalses. Die Performance des Tunnels kann nämlich nie besser sein, als die des Mediums, das er benutzt.

Es könnte lediglich dann von Vorteil sein, wenn Du den Internetzugriff Deiner User mit den Webfilter-Funktionen der PFsense einschränken wolltest (welche weit über die Webfilter-Funktionen der FritzBüchse hinausragen).
Aber auch da wäre es besser wenn Du bei euch vor Ort ein APU Board mit PFsense betreiben würdest. Somit könntest Du die Vorteile beider Varianten kombinieren.

Ich habe testweise mal mein Zuhause per F!B an den VPN angebunden. Ich frage mich jetzt nur, wie ich quasi Standort B sage, dass es jetzt auch Standort C gibt mit dem Netz 192.168.177.0/24 und anders herum. So dass die sich untereinander ansprechen können.
Ich bin sicher, dass hat was mit Routen zu tun, allerdings musste ich das noch nie machen und habe absolut keine Ahnung, wo ich dem die Routen sagen muss und wie ich die gestalten muss.

Vielleicht hast du da auch nochmal einen Tipp für mich!

Gruß
Simon

Mehr Privatsphäre, dann alle Kommunikation über eine IP stattfindet.

Das wäre dann das Argument für einen Gateway Redirect. Bei der mickrigen VPN Performance der FB aber vielleicht nicht gerade zielführend für den Anfang. Kollege @ad39m hat es schon angesprochen.

Ich frage mich jetzt nur, wie ich quasi Standort B sage, dass es jetzt auch Standort C gibt

Das machst du mit der IPsec Konfig in der Phase 2 ! Dort gibst du doch den jeweiligen VPN Routern immer die lokalen und remoten IP Netze mit und damit "kennen" sie diese logischerweise und auch die Route dahin. Ganz simpel und einfach !

Ich bin sicher, dass hat was mit Routen zu tun

So ist es !

allerdings musste ich das noch nie machen

Weil die IPsec Phase 2 eben dein bester Freund ist.
Tip: Mal etwas Grundlagen zu IPsec lesen und schlau machen !!
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie immer: Lesen und verstehen !

Zitat von @aqui:

Mehr Privatsphäre, dann alle Kommunikation über eine IP stattfindet.

Das wäre dann das Argument für einen Gateway Redirect. Bei der mickrigen VPN Performance der FB aber vielleicht nicht gerade zielführend für den Anfang. Kollege @ad39m hat es schon angesprochen.

Ich frage mich jetzt nur, wie ich quasi Standort B sage, dass es jetzt auch Standort C gibt

Ich bin sicher, dass hat was mit Routen zu tun

So ist es !

allerdings musste ich das noch nie machen

Hallo Meister @aqui!,

das ist meine Phase 2 für den VPN zu mir nach Hause.

Weiß ehrlich gesagt nicht so ganz, wo ich dort etwas passendes eintragen soll, so dass mein Zuhause (Standort C) weiß, ahhh, da lang geht es zu Standort B (Büro vor Ort).

Gruß
Simon

Glotzen uff wie der Berliner so schön sagt... 😵‍💫
Local Network = Dein lokales LAN Subnet ! Welches das ist siehst du (und die FW) an den IP Einstellungen dieses LAN Interfaces
Remote Network = 192.168..177.0 /24
Bei der Phase 2 Negotiation machen sich die beiden VPN Systeme diese IP Netze gegenseitig automatisch bekannt und "kennen" so alle Routen.
Zumindestens auf der pfSense kannst du dir das bei aktivem Tunnel auch in der Routing Tabelle unter Diagnostics anzeigen lassen und auch unter Status -> IPsec.

Ja, vom DC auf Site1 und Site2 komme ich ja. Genau so komme ich von Site1 & Site2 zu DC und FW. Ich komme nur nicht von Site1 zu Site2.

Ich sehe gerade den Wald vor lauter Bäumen wahrscheinlich nicht.

Ich komme nur nicht von Site1 zu Site2.

Bahnhof, Ägypten ???
Du hast doch oben selber stolz verkündet: "Ich liebe euch so sehr! Es hat alles geklappt."
Was denn nun ??? Du sprichst in Rätseln ??
Wenn das VPN steht und du Site1 und Site 2 Endgeräte untereinander pingen kannst inkl. der FW Interfaces wie du selber sagst ist doch alles OK ?!
Wenn einzelne Geräte nicht pingbar sein sollten und das zudem Winblows Gurken sind kann es nur die lokale Windows Firewall dieser Geräte sein und es gilt das dir oben gesagte zu ICMP und den Datei- und Druckerdiensten.

Zitat von @aqui:

Ägypten ???

Da geht es erst in 14 Tagen hin.

Okay, ich hol nochmal kurz aus.
Ich formuliere echt doof gerade!

Standort A: 2 x Netcup VM (pfSense + DC)
Standort B: Ladengeschäft vor Ort mit F!B
=== Verbindung zwischen A+B steht und funktioniert wunderbar. Alle Geräte kommunizieren untereinander ===
Standort C: Mein Zuhause mit F!B
=== Verbindung zwischen A+C steht und funktioniert wunderbar. Alle Geräte von A zu C kommunizieren untereinander. ===

Ich möchte aber jetzt Beispielsweise von hier (C) aus, auf den Drucker bei B zugreifen. Allerdings komme ich nicht durch von C zu B oder von B zu C. Von A komme ich an alle Netze dran.

Verfolge ich die Route zu 192.168.178.1 (F!B an Standort B) komme ich bis zu meiner F!B (C) und dann nicht weiter. Meine F!B kennt ja nur das Netz 10.0.0.0/24 und nicht 192.168.178.0/24 von Standort B.

Wie bekomme ich eine Kommunikation zwischen B und C hin?

Ich möchte aber jetzt Beispielsweise von hier (C) aus, auf den Drucker bei B zugreifen.

Aaaahhhsooo, sorry, das hatte ich auch in den falschen Hals bekommen.
Ja, das ist klar das das nicht geht und das hast du auch richtig erkannt !

Meine F!B kennt ja nur das Netz 10.0.0.0/24 und nicht 192.168.178.0/24 von Standort B.

Genau, denn deine C FB kennt das Netz der B FB nicht bzw. weiss nicht das sie das auch in den VPN Tunnel nach A routen muss. Die Routing Tabelle ist hier wieder dein Freund !

Es gibt eine einfache Optionen das zu lösen:
Du definierst einfach ein weiteres VPN zw. den beiden FritzBoxen FB B und FB C.

Zitat von @aqui:
Genau, denn deine C FB kennt das Netz der B FB nicht bzw. weiss nicht das sie das auch in den VPN Tunnel nach A routen muss. Die Routing Tabelle ist hier wieder dein Freund !

Ich habe schon, spaßeshalber, versucht, das Netz der F!B als statische Route hinzu zu fügen mit der pfSense als GW. Aber das geht natürlich nicht...

Es gibt eine einfache Optionen das zu lösen:
Du definierst einfach ein weiteres VPN zw. den beiden FritzBoxen FB B und FB C.

Also F!B mit F!B verbinden, unabhängig von der pfSense?

Zitat von @bluelight:

Es gibt eine einfache Optionen das zu lösen:
Du definierst einfach ein weiteres VPN zw. den beiden FritzBoxen FB B und FB C.

Also F!B mit F!B verbinden, unabhängig von der pfSense?

Ja klar. Damit sparst Du Dir bei der Verbindung die PFsense als Knotenpunkt und hast einen SPOF weniger und bestenfalls eine bessere Performance.

Zitat von @Ad39min:

Zitat von @bluelight:

Es gibt eine einfache Optionen das zu lösen:
Du definierst einfach ein weiteres VPN zw. den beiden FritzBoxen FB B und FB C.

Also F!B mit F!B verbinden, unabhängig von der pfSense?

Ja klar. Damit sparst Du Dir bei der Verbindung die PFsense als Knotenpunkt und hast einen SPOF weniger und bestenfalls eine bessere Performance.

SPOF? Single point of failure? Oder waas soll das heißen?

Man könnte auch etwas frickeln mit größeren Phase 2 Subnetzmasken wie z.B. HIER aber wir wollen dich jetzt auf deinem guten VPN Weg nicht "versauen" mit solchen Basteleien.

Zitat von @aqui:

Man könnte auch etwas frickeln mit größeren Phase 2 Subnetzmasken wie z.B. HIER aber wir wollen dich jetzt auf deinem guten VPN Weg nicht "versauen" mit solchen Basteleien.

Ja, die Idee hatte ich auch schon, aber das soll ja wohl eher nicht so gut sein, weil das wohl fatale Auswirkungen hätte wg. Broadcast, wenn ich so große Subnets nehme.

Zitat von @bluelight:

Zitat von @Ad39min:

Zitat von @bluelight:

Es gibt eine einfache Optionen das zu lösen:
Du definierst einfach ein weiteres VPN zw. den beiden FritzBoxen FB B und FB C.

Also F!B mit F!B verbinden, unabhängig von der pfSense?

Ja klar. Damit sparst Du Dir bei der Verbindung die PFsense als Knotenpunkt und hast einen SPOF weniger und bestenfalls eine bessere Performance.

SPOF? Single point of failure? Oder waas soll das heißen?

Exakt. Du hast schon so viele SPOFs in deiner Infrastruktur, da braucht es garantiert nicht noch mehr davon.

Zitat von @aqui:

Man könnte auch etwas frickeln mit größeren Phase 2 Subnetzmasken wie z.B. HIER aber wir wollen dich jetzt auf deinem guten VPN Weg nicht "versauen" mit solchen Basteleien.

Ne, für's erste ist es erstmal gut wenn sein Setup läuft

Dann muss er erst noch seine Hausaufgaben machen und für Redundanz in seiner geschäftskritischen Infrastruktur sorgen.

weil das wohl fatale Auswirkungen hätte wg. Broadcast, wenn ich so große Subnets nehme.

Nein, das ist Unsinn. Die Phase 2 bestimmt ja nur welche IP Netze bzw. Adressen in den Tunnel geroutet werden und welche nicht. Es ist immer noch ein Routing und kein Bridging !

German solved Question Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments