maximid
Goto Top

Fritzbox 7590 VPN opnsense

Hallo,

leider konnte ich im Internet nicht wirklich eine Antwort auf meine Frage finden. Ich habe im Rechenzentrum eine opnsense stehen hinter dieser meine Server stehen. Im neuen Büro haben wir eine Fritzbox 7590 und 4 Thin Clients. Nun stelle ich mir die Frage ob ich diese 4 Thin Clients mit einem openVPN Zertifikat ausstatte und diese direkt mit der opensense kommunizieren lassen oder ob ich per IPsec die Fritzbox mit der opensense verbinde.

Die Fragen die ich mir stelle sind:
- Was macht aus technischer Sicht mehr Sinn?
- Läuft dann der komplette Traffic der Fritzbox über das RZ?
- Wenn ich einen Gastzugang einrichte läuft dieser dann auch über das RZ?


Vielen Dank schonmal,
Max

Content-ID: 666976

Url: https://administrator.de/contentid/666976

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

aqui
Lösung aqui 21.05.2021 aktualisiert um 13:22:31 Uhr
Goto Top
FritzBox per IPsec mit der OPNsense verbinden lautet die einzig richtige Antwort !
Zu den Fragen:
  • Siehe oben...
  • Nein, rein nur der Traffic der Thin Clients und dem Server. Sprich nur der beiden remoten LANs (Split Tunneling)
  • Nein, der ist als Gastzugang vollkommen getrennt vom lokalen Netz und VPN der FB. Zumal nutzt er ein völlig anderes IP Netz was durch die Phase 2 im IPsec gar nicht zw. den Tunnelendpunkten bekannt ist.

Wie man die OPNsense mit der FB verbindet erklärt dieser Thread:
PFsense VPN tunnel zur FritzBox 7390 (IPSec)
148121
Lösung 148121 21.05.2021 aktualisiert um 13:23:01 Uhr
Goto Top
Zitat von @maximid:
Die Fragen die ich mir stelle sind:
- Was macht aus technischer Sicht mehr Sinn?
Ein VPN sollte man wenn es geht optimalerweise immer auf dem Perimeter eines Netzes terminieren, die Fritte wäre also absolut sinnvoller, auch wenn diese VPN performancetechnisch nicht so gut da steht, da aber offensichtlich nur 4 User via RDP arbeiten sollte das ausreichen.
- Läuft dann der komplette Traffic der Fritzbox über das RZ?
Nein, bei Split-Tunneling läuft nur der Traffic an die jeweiligen IPs darüber. Wenn man das wollte lässt sich das aber mittels "Kreuzchen" in der VPN Config konfigurieren.
- Wenn ich einen Gastzugang einrichte läuft dieser dann auch über das RZ?
Nein.

Gruß w.
maximid
maximid 21.05.2021 aktualisiert um 13:57:16 Uhr
Goto Top
Alles klar super erklärt, merci! Dann passt das ja alles so wie ich das will.
Also wäre hier eine feste IPv4 Adresse auch von Vorteil oder?

Könnt ihr eventuell auch noch einen Router empfehlen der vielleicht sogar openVPN kann?
aqui
aqui 21.05.2021 aktualisiert um 15:20:07 Uhr
Goto Top
Also wäre hier eine feste IPv4 Adresse auch von Vorteil oder?
Jein. Ginge auch mit beidseitig dynamischen. Es reicht auch völlig wenn nur eine Seite eine feste IP hat (IPsec Responder). 2 müssen nicht zwingend sein.
einen Router empfehlen der vielleicht sogar openVPN kann?
Die üblichen Verdächtigen:
Mikrotik:
Clientverbindung OpenVPN Mikrotik
GL.inet Modelle:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
pfSense/OPNsense:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Alle Routerplattformen die OpenWRT Firmware supporten:
https://openwrt.org/toh/start
Oder DD-WRT Firmware:
https://dd-wrt.com/support/router-database/

Aber wieso jetzt OpenVPN wo du dich jetzt auf die sinnvollere IPsec Lösung festgelegt hast ? Ggf. wäre das modernere Wireguard dann zielführender:
Merkzettel: VPN Installation mit Wireguard
Die o.a. IPsec Lösung passt aber in deiner Infrastruktur besser wenn du mit dem "moderaten" VPN Durchsatz der FB leben kannst. Bei Thinclients sicher völlig problemlos, denn das was die an RDP, Citrix oder VNC Durchsatz brauchen ist ja eher homöopathisch.