Homeoffice via VPN anbinden

Den Mikrotik nur auf der Homeoffice-Seite oder als Gegenpart noch einen zweiten im Firmen-LAN?

Grundsätzlich würde ich das Homeoffice eher ungern an den Windows PPTP Server anschließen. Ich bin mir aber nicht sicher, ob das mit dem CISCO Router und einer "Gateway To Gateway" so funktioniert, da der Router momentan alles VPN-Mäßige einfach durchschleift.

Mein Vorgänger kannte VLANs nicht. Ich gehe deswegen davon aus, dass die Telefonie durch den VPN Tunnel hindurch funktionieren wird.
Aber danke für den Hinweis.

Hey,

das mit PPTP sehen ich genau so, nur ist es momentan nicht vorgesehen die bestehende VPN Struktur derart umzustellen.

Der Cisco Router wird doch wahrscheinlich (hoffentlich) auf IPSec setzen. Ein paralleler Betrieb von PPTP und IPSec über eine IP müsste doch möglich sein, oder?

Der ominöse Telekomrouter bekommt jetzt ein Gesicht:

Speedport W 921V

Vielen Dank für den Hinweis.
Aber PPPoE Passtrough möchte ich eigentlich nicht.
Eigentlich möchte ich überhaupt nichts an deren Privat-Installation verändern außer vielleicht einem IPSec Passtrough. Darum ja auch die Frage nach einem extra VPN-Router.

Dann wird es wohl auf die Router Kaskade hinauslaufen:

Mein Problem ist, dass ich das nicht ausprobieren kann. Darum das planlose Gefrage hier um überhaupt erst einmal einen passenden Ansatz zu finden.

Jau. Vielen Dank. Die Mikrotik Router kannte ich noch gar nicht. Vielen Dank für die vielen Hinweise.
Ich werde es damit mal ausprobieren.

Hallo,

es ist jetzt tatsächlich eine Kombination aus pfSense und Mikrotik geworden.
Der Tunnel wir über openVPN hergestellt und funktioniert wunderbar.

Nun fehlt noch folgendes I-Tüpfelchen:
Ist es möglich die Geräte im Homeoffice aus dem Headoffice direkt über deren IPs anzusprechen, so dass für den Laien nicht feststellbar ist ob der PC im Büro oder Zuhause steht?

Momentan ist es so, dass durch den MikroTik alle Pakete maskiert werden und im Headoffice nur die öffentliche IP des Homeoffices ansprechbar ist.

Außerdem wäre es grandios, wenn die Geräte im Homeoffice auch direkt die IP Adressen vom DHCP aus dem Hauptnetz beziehen könnten etc.


Wäre das mit Bridging (TAP) umsetzbar?

Bevor ich das mit dem PAT wieder zurückstelle, gibt es leider noch ein Problem an einer anderen Baustelle.

Der Windows PC kann das Benutzerprofil nicht mit dem DC synchronisieren.

Ereignis-ID: 1521

Ereignis-ID: 6005

Ereignis-ID: 6006

Leider weiß ich nicht an welcher Stelle ich mit der Suche nach der Ursache anfangen soll.

Ist das Problem in der Netzwerkkonfiguration zu suchen oder könnte es evtl. auch an Einstellungen wie der GPO "...bei der Anmeldung immer auf das Netzwerk warten" liegen?

Wenn man mit einem temporären Profil angemeldet ist, kann man sich ganz normal in der Netz-Landschaft bewegen:
Ping, DNS, Freigaben, RDP, usw. funktionieren wunderbar.
Der OpenVPN Tunnel zwischen MT und PfSense steht stabil, das VoIP Telefon ist korrekt mit der Telefonanlage verbunden. Soweit alles gut.

Aus dem Firmennetz in Richtung Homeoffice ist der Zugriff dank der (noch vorhandenen) NAT-Problematik ein wenig eingeschränkt. Zu dem PC weitergeleitete Protokolle wie z.B. RDP sind aber auch problemlos nutzbar.

An welcher Stelle könnte es mit dem Windows Profil haken?

Müssen da vorerst noch weitere Ports weitergeleitet werden?


Zwischendurch schreibt die GroupPolicy noch Fehler in das Eventlog:

Ereignis-ID: 1055

An einer anderen Stelle wiederum heißt es:

Das widerspricht sich doch?!

Moin,

ich habe die Einträge in beiden Dateien gesetzt. Es hat leider nichts gebracht und die Situation ist unverändert.

An welchen Stellen könnte man noch gucken?

Hi,

sicher, sicher.

Auch nslookup liefert korrekte Ergebnise auf dem richtigen Weg.

Das Problem lag tatsächlich an einem komplett anderen Ende:

Alle Meldungen im Ereignislog deuteten auf DNS Probleme hin. Letztenendes war der Pfad zu dem gespeicherten Profil im AD falsch.
Pfad geändert und schon läuft es wieder.

Moin, moin.

Ich würde das Thema nun gerne einmal abschließend bearbeiten. Dazu habe ich noch zwei offene Punkte:

1. Aktuell kann ich aus dem Office nicht direkt auf die Geräte im Homeoffice zugreifen (NAT). Das würde ich gerne ändern.
2. Die VLAN Struktur aus dem Office soll durch den VPN Tunnel geroutet werden, so dass bspw. Port 1 vom MirkoTik für VLAN X und Port 2 für VLAN Y bereitsteht.

Habt ihr ein paar Hinweise für mich, was ich an der bestehenden Struktur (pfSense <- OpenVPN -> MikroTik) anpassen muss, damit die beiden offenen Punkte auch noch funktionieren?

Aqui, du hast ja schon einmal auf das Thema Masquerading hingewiesen. Leider bin ich mir noch nicht im klaren darüber, an welchen Schrauben ich genau drehen muss.

Vielen Dank für deine Antwort. Ich fasse diesen Thread bzw. die bereits umgesetzten Punkte einmal zusammen. Das sollte dann deine offenen Fragen klären:


Im Office habe ich eine pfSense, die direkt am Internet hängt. Die Firewall dient gleichzeitig als OpenVPN Server.


Auf der anderen Seite werkelt ein MirkoTik Router. Dieser ist als OpenVPN Client eingerichtet. Der "WAN"-Port des MikroTiks wird mit dem Heimnetzwerk verbunden. Alle an den anderen Ports angeschlossenen Netzwerkgeräte können durch den VPN Tunnel direkt mit den Geräte im Office kommunizieren.

Bei dieser Konstellation ist man unabhängig von den Komponenten des Heimnetzes und es ist für den Nutzer super simpel zu installieren.


Nun fehlen mir nur noch die besagten i-Tüpfelchen zur perfekten Konfiguration.
Aktuell ist der MikroTik Router aus dem Hauptbüro ausschließlich über die eine virtuelle IP des OpenVPN Adapters ansprechbar. Auf die anderen Netzwerkgeräte im Homeoffice kann man daher nur zugreifen, wenn man im MikroTik entsprechende Portweiterleitungen einrichtet.
Ich hätte es gerne so, dass man aus dem Hauptbüro durch den VPN Tunnel auch ohne diese NAT-Hürde direkt auf die anderen Geräte zugreifen kann.

Zum VLAN:
Wie es übertragen wird oder ob es später unterschiedliche IP Bereiche im Homeoffice gibt, ist erst einmal egal.
Vermutlich wird es darauf hinauslaufen, dass bspw. VLAN 1 die 172.17.1.0, VLAN 2 die 172.17.2.0 bekommen, korrekt?

Genau so ist es.


Ich habe mich falsch ausgedrückt. Der MikroTik ist natürlich ganz normal aus dem Homeoffice-Netzwerk ansprechbar. Sobald man aber aus dem Office auf die Geräte im Homeoffice (also auch den MikroTik) zugreifen möchte, geht das nur über die in der pfSense konfigurierten virtuellen IP....


Ich bin der Meinung, dass ich die Kiste vorher über das CLI platt gemacht habe. Da ich mir aber nicht mehr zu 100% sicher bin und ich auch das Tutorial nicht mehr finde an dem ich mich orientiert habe, werde ich das ganze einfach noch einmal aufsetzen und mich dann an dieser Stelle wieder melden.

Moin,

ich habe mir den MikroTik noch einmal vorgenommen und benötige ein wenig Unterstützung um die Side-To-Side VPN Verbindung inkl. des Routings einzurichten.

Ziel: OpenVPN Tap Verbindung zwischen pfSense (v2.2) und einem MikroTik Router (v5.25)


Der OpenVPN Tunnel kann grundsätzlich aufgebaut werden.

In der pfSense habe ich mich an diesem Tutorial orientiert:
- Das LAN Interface hängt im Netz 172.17.1.0/24


Der OpenVPN Server ist wie folgt konfiguriert:
General information
- ServerMode: Remote Access (SSL/TLS + UserAuth)
- Protocol TCP
- Device Mode: tap
- Interface: WAN1 (Keine NAT/Router Kaskade. An dem Interface ist ein echtes DSL Modem angeschlossen.)
- Local port: 1194

Cryptographic Settings
.. So einiges.. Erspare ich mir hier, da die Verbindung ja aufgebaut werden kann

Tunnel Settings
- IPv4 Tunnel Network: <leer>
- Bridge DHCP: check
- Bridge Interface: LAN (-> 172.17.1.0/24)
- Server Bridge DHCP Start: 172.17.1.60
- Server Bridge DHCP End: 172.17.1.69 (DHCP Range für LAN Interface: 172.17.1.100 - 172.17.1.200)
- Redirect Gateway: uncheck
- IPv4 Local Network/s: 172.17.1.0/24
- Concurrent connections: <leer>
- Compression: No Preference (Für den Anfang. Später soll komprimiert werden)
- Type-of-Service: uncheck
- Inter-client communication: check
- Duplicate Connections: uncheck

Client Settings
- Dynamic IP: check
- Address Pool: check
- DNS Default Domain: <ist hinterlegt>
- DNS Server: <ist hinterlegt>
- Force DNS cache update: uncheck
- NTP Servers: uncheck
- NetBIOS Options: uncheck
- Client Management Port: uncheck

Advanced configuration
- Advanced: route 172.17.71.0 255.255.255.0 (Soll später auch durch den Tunnel)


Dann habe ich, wie im Tutorial beschrieben, eine Bridge eingerichtet:
1. Neues Interface für den openVPN Server (OpenVPN_Interface) erstellt
2. Bridge erstellt und dort LAN und OpenVPN_Interface verbunden.
Mehr habe ich an dieser Stelle nicht konfiguriert. Passt das mit der Bridge so? Hier wird diesbezüglich noch deutlich wilder herumkonfiguriert. Das muss wohl hoffentlich nicht sein.


Firewall: Rules:
Das OpenVPN_Interface hat noch eine "Allow Any" Regel bekommen.


Das sollte doch auf Seiten der pfSense erst einmal reichen, oder?


Nun zum MikroTik:

Interface "eth 1" ist an das Heimnetzwerk angestöpselt und bekommt per DHCP eine IP von einer Fritzbox zugewiesen. Der MikroTik kann über dieses Interface in's Internet. Die Fritze ist ein stinknormaler "Heimrouter" mit NAT etc. es wurden keine Portweiterleitungen konfiguriert.


Ich habe ein neues openVPN Interface hinzugefügt:
- Connect To: <WAN IP der pfSense>
- Port: 1194
- Mode: ethernet
- User, Passwort, Profile, Certificate, Auth, Cipher erspare ich mir, da die Verbindung aufgebaut werden kann
- Add Default Route: check


Es sind keine Filter Rules, NAT oder Mangle Einstellungen vorhanden. Die Einstellungsmenüs sind komplett leer. Es wurden keine Default-Einstellungen geladen.

Nach dem Aufbau der openVPN Verbindung, bekommt das OpenVPN Interface die IP 172.17.1.60/24 von der pfSense zugewiesen. Super!



Und jetzt? Wie geht es jetzt weiter?

Wie hier in diesem Thread ersichtlich, hatte ich bereits eine "tun"-Konfiguration laufen. "tap" scheint sich allerdings ein wenig anders zu verhalten. Was ja auch gewollt ist.
Mit dieser Minimalkonfiguration im MikroTik kann man selbstverständlich noch nichts reißen. Aktuell funktioniert noch nicht einmal ein Ping richtung pfSense.
Welche Konfigurationen fehlen noch, damit man zumindest erst einmal vom MikroTik ins Office pingen kann?


Weitere geplante Schritte, wie in diesem Thread bereits angekündigt:
- Mehrere VLANs aus dem Office durch den Tunnel routen und den Interfaces des MikroTiks zuweisen.

Vielen Dank schon einmal.


Ach ja: Bitte keine fertige Konfiguration posten, die man nur 1:1 abtippen braucht. Vorgekautes ist zwar einfacher zu verdauen, selber kauen lernen macht aber mehr Spaß.

Bin einen Schritt weiter:

Ich habe "route xyz 255.255.255.0"; mit "push route xyz 255.255.255.0"; verwechselt.
Nachdem ich aus dem "route 172.17.71.0 255.255.255.0" ein "route 172.18.1.0 255.255.255.0" gemacht habe, lief es.

Allerdings läuft es noch nicht so ganz flüssig wie es eigentlich sollte:
In der pfSense ist anscheinend keine passende Route hinterlegt. Die Pakete für 172.18.1.0/24 werden nicht in den openVPN Tunnel geroutet.
Über die Logs, Paket Sniffer und Wireshark kann man ganz gut sehen, dass das Ziel im Office einen Ping request erhält und auch ein reply versendet. Wenn man den Traffic im Tunnel verfolgt, fehlen die reply-Pakete. Dort sieht man nur die Requests.

In der pfSense Firewall sind alle Scheunentore geöffnet:
LAN Interface und openVPN Interface haben jeweils als erstes eine Regel mit dem Inhalt


Beim openVPN Server ist zusätzlich zu der oben genannten Konfiguration folgendes hinterlegt:

Was fehlt noch, damit die pfSense schnallt wo die Pakete hingehen sollen?

PS:
Das OpenVPN Interface vom Mikrotik (172.17.1.60) kann man übrigens von überall aus anpingen.


pfSense OpenVPN Server Log:

In der Routing Tabelle steht nichts. Da ich aber nicht wusste, ob es evtl. noch an anderen Stellen hinterlegt sein könnte, habe ich das Wort "Anscheinend" gewählt.

Per Hand nachtragen ist doch plöd. Wenn, dann sollte das doch direkt über die VPN Konfiguration laufen, oder?


Ist ICMP etwa nicht in
enthalten?


Die beiden Netze (und noch ein paar mehr) hängen an der pfSense im Office.
Ich würde die VLANs der pfSense gerne auf diesem Weg durch den Tunnel routen, so dass z.B. ein VoIP Telefon (mit der IP 172.18.71.2/24) im Homeoffice auf die TK Anlage (mit der IP 172.17.71.3/24) im Office zugreifen kann.
Das funktioniert prinzipiell auch schon. Zumindest in eine Richtung. -> Wo wir wieder beim Thema "Route in der pfSense" sind.

Das Log spuckt folgenden Fehler aus:

Soll ich das so verstehen wie es da steht?
Bedeutet das, dass iroute für meine "tap" Verbindung garnicht benötigt wird?

Kann man über einen tun-Tunnel so transparent auf die Geräte der Gegenseite zugreifen wie bei tap? So, dass z.B. jedes Gerät über seine eigene IP ansprechbar ist etc.?


Bzgl. Bridge:
Wie am Sonntag geschrieben, habe ich das LAN Interface und das openVPN Interface in der pfSense über eine Bridge zusammengefasst. Reicht das so oder muss noch mehr konfiguriert werden?



Siehe pfSense Static Routes:

Der Tunnel steht und läuft exakt so wie ich mir das vorstelle!

Ich habe beim openVPN Server jetzt doch noch ein Tunnel Netz (192.168.168.0/28) konfiguriert. Das OpenVPN Interface vom MikroTik bekommt daher nun die 192.168.168.2/24 zugewiesen.

Der Knackpunkt beim Routing lag bei einer Zeile in den Advanced-Optionen:
Hat alle Routingprobleme gelöst.

Vollständig steht unter Advanced nun:

Die verschiedenen Netze sind zum Durchschleusen der VLANs. (1 -> Verwaltung, 31 -> VoIP, 71 -> PC Workstations).
Auf dem Mikrotik habe ich zwei Ports für PCs und zwei Ports für VoIP Telefone konfiguriert. Mit unterschiedlichen Netzen. Jeweils mit DHCP Server.

Alles funktioniert wunderbar. - Fast.

Jetzt fehlt nur noch der Zugriff in's Internet. Ich stelle mir vor, dass für Internet-Anfragen der Heimanschluss bemüht wird und dieser Krams nicht durch den Tunnel geht. Vom Routing passt das soweit auch schon. Allerdings werden dafür wohl noch ein paar NAT Einstellungen im MikroTik Router benötigt. Schließlich kennt die Fritzbox keines der tollen 172.18.x.0/24er Netze.
Was genau muss da jetzt eingestellt werden?


Chain: srcnat
... ?

Auch mein letztes "Problem" lies sich relativ leicht lösen.

Neue NAT Regel:
Chain: srcnat
Out Interface: "Uplink Port"
Action: Masquerade

Damit ist diese ganze Homeoffice Thematik endlich gelöst!
(Ja, es gibt noch eine Firewall.)


Vielen Dank für das Händchen halten und noch einmal 1000 Dank für den Verweis auf den MikroTik Router. Die Lösung ist jetzt echt zu 100% DAU Kompatibel.
Die einzelnen Ports am Routerchen bekommen nun noch ein paar Beschriftungen/Labels und ab dann kann sich der werte Kollege ja in jedem beliebigen Netz ein "Homeoffice" aufbauen. Ich bin begeistert!