vafk18
Goto Top

Installation von pfSense im Firmennetzwerk

Guten Tag,

nach Jahren des einwandfreien Betriebs zweier pfSenses, wo eine an einem Telekom-DSL-Anschluß und die andere an einem Netztwerk mit fester IP installiert waren, wanderte die erste pfSense in ein Firmennetzwerk. Dort installiert funktioniert sie einwandfrei. Nur der bis dato eingerichtete VPS über IPSec geht nicht, da die pfSense nicht von außen erreichbar ist.

Leider ist der Administrator des Firmennetzwerks aus Altersgründen ausgeschieden. Was muß ich am Router des Firmennetzwerks einrichten, damit a) meine pfSense von außen erreichbar ist und b) welche Vorsichtsmaßnahmen sind zu treffen, damit Fremde über meinen Anschluß nicht in das vorhandene Firmennetzwerk gelangen? Wobei ich denke, daß die pfSense an sich schon meinen Datenverkehr und auch den meiner Geschäftsfreunde von Haus aus trennt.

Danke und Grüße!

Content-Key: 62280971134

Url: https://administrator.de/contentid/62280971134

Printed on: July 14, 2024 at 16:07 o'clock

Member: radiogugu
radiogugu Jun 25, 2024 at 11:01:17 (UTC)
Goto Top
Mahlzeit.

Also hier sind jede Menge Fragen offen:

Wie sieht das Netzwerk aus? Bitte mal eine Skizze anfertigen und hochladen.

Welche Versionen sind die PFSense Boxen? Sind das Installationen auf Hardware oder virtualisiert?

Wie sind die PFSensen denn konfiguriert?

Zwei Firewalls sind also vorhanden. Eine für private und eine für geschäftliche Belange?

Welche Switches gibt es, wie sind die an die Firewalls angeschlossen?

Alles was an den WAN Anschluss der PFSense angeschlossen wird, sollte im Standard nicht eingehend auf die dahinterliegenden Netzwerke zugreifen können.

Sind die Firewalls in einer Kaskade angeschlossen? Also Internet > Firewall 1 > Firewall 2?

Gruß
Marc
Member: vafk18
vafk18 Jun 25, 2024 updated at 13:15:36 (UTC)
Goto Top
@radiogugu

Danke für die Hilfe!

1) Skizze muß ich noch anfertigen. Meine Freunde sind schon mal happy, daß ich den "alten Mann" ersetzen will face-smile
2) 2.7.2-RELEASE auf Hardware (Einplatinen-PC)
3) pfSense als Hybrid Outbound NAT konfiguriert.
4) Angeschlossen an TP-Link AC1200 Wireless-Router mit statischer IP-Adresse im TP-Link. Im Access-Control von TP-Link habe ich eine Regel eingetragen, daß der Traffic über einen bestimmten Port ein- und ausgeht und für alle Protokolle gilt.

Beim Testen mit Telnet an IP Port (aus dem Firmennetzwerk, in dem die pfSense hängt) bekomme ich kein Echo. Ich nehme an, daß ich in der pfSense den geöffneten Port eintragen muß und/oder NAT-Regeln einstellen muß.

Ich komme aus meinem (neuen) Netz in das Netz, an dem meine pfSense angeschlossen ist. Wo kann ich das verbieten; ich nehme an, in dem Router, an dem meine pfSense angeschlossen ist und wie?

Ferner möchte ich wissen, wie ich später meine pfSense über die feste IP des Firmennetzwerks über HTTPS erreiche. Muß ich nach der IP einen : setzen und danach den Port? Wo teile ich der pfSense, daß sie über diesen Port aus dem Internet (und evtl. aus dem Netz, wo sie hängt) über HTTPS erreichbar ist?
Member: radiogugu
radiogugu Jun 25, 2024 updated at 15:20:35 (UTC)
Goto Top
Wenn du ein Firewall Management Interface von außen, also aus dem WAN, erreichen möchtest, musst du das in der PFSense am WAN Interface entsprechend erlauben.

Regel erstellen, welche vom WAN an die WAN Interface Adresse der PFSense den entsprechenden Port erlaubt.

Gleiches mit ICMP/Ping. Wenn du von außen nach innen Echos haben möchtest, muss das am WAN Interface in Richtung des gewünschten Netzwerks geregelt werden.

Ohne eine Skizze kapiere ich die Konstellation an der Stelle leider nicht. Ist zu warm und ich habe keine Vorstellungskraft mehr über face-smile

Eine Beispielkonfiguration einer Router-Kaskade findest du hier über die Suchfunktion.

Diese kommt bei dir ja anscheinend zum Einsatz.

Generell ist so eine Verschachtelung schwer zu überdenken und wenn möglich zu vermeiden.

Am besten ist immer:

Modem > Firewall > Switch(es).

Ist nicht immer zu erreichen. Wenn du dein Firmennetzwerk von deinem privaten Netzwerk trennen möchtest, dann ist die Kaskade absolut notwendig.
Auf deiner privaten PFSense konfigurierst du am sinnigsten eine dedizierte Schnittstelle oder ein VLAN auf dem dahinterliegenden Switch und setzt dann die WAN IP deiner geschäftlichen PFSense auf eine aus dem Kreis dieses Netzes.

Das wird dann das klassische Transfernetz.

Ohne Skizze ist es leider nur Stochern.

Gruß
Marc
Member: aqui
aqui Jun 25, 2024 updated at 15:42:55 (UTC)
Goto Top
Punkt 4 lässt schliessen (geraten) das du die Firewall in einer Routerkaskade betreibst.
Welche Ports du dann bei IPsec im davor kaskadierten Router für die pfSense freigeben musst beschreibt dir das VPN Forenturorial in einem extra Kapitel:
pfSense Firewall mit Routerkaskade

Das gleiche (oder ein zweites) Tutorial erklärt dir vermutlich auch wie man den VPS Server an die pfSense anbindet?!

Ich nehme an, daß ich in der pfSense den geöffneten Port eintragen muß
Ja und nein. Leider ist deine Beschreibung recht oberflächlich, denn keiner weiss ob du mit "Port" die Applikation oder den Netzwerk Port meinst? 🤔

Ein paar Infos die ggf. helfen:
  • Telnet Zugriff auf die Firewall ist generell nicht supportet aus Sicherheitsgründen!
  • Shell Zugang ist einzig nur per SSH Zugriff (PuTTY, TeraTerm etc.) supportet aber auch dies ist im Default generell deaktiviert und muss in den "Advanced Settings" erst mit einem entsprechenden Haken aktiviert werden.
ssh
  • Im Default Setup ist der FW Zugang aus dem lokalen LAN Segment generell für alle Dienste erlaubt, es sei denn der "Vorkonfigurator" hat hier ein dediziertes Regelwerk gesetzt. Leider fehlt diese Info. face-sad
  • Der Firewall WAN Port blockt generell im Default jeglichen Zugang von außen wie es FW üblich ist. Wenn du hier mit bestimmten Protokollen/Diensten zugreifen willst muss man das explizit im WAN Port Regelwerk erlauben. Firewall eigene Dienste wie das IPsec VPN erzeugen in der Regel automatisch entsprechende WAN Regeln um diese Dienste passieren zu lassen. Je nachdem ob der Vorgänger Admin das erlaubt oder unterbunden hat. Auch zum WAN Port leider keine zielführenden Infos diesbezüglich. face-sad

Halte dich an das o.a. pfSense Tutorial. Das erklärt alle Feinheiten im Detail und hat in den weiterführenden Links jede Menge Zusatzinformationen und laufende u. abtippfertige Praxiskonfigurationen.
Eine grobe Skizze wäre in der Tat hilfreich.
Die VLAN Integration der pfSense mit entspr. Switches findest du, wie immer, HIER.
Member: vafk18
vafk18 Jun 25, 2024 updated at 17:38:24 (UTC)
Goto Top
Hier die Skizze des Netzwerks. Sorry, daß alles so kleckerweise kam...

Meine wichtigste Anforderung:
pfSense soll von außen erreichbar sein (u.a. damit meine zweite pfSense über IPSec VPN aufbaue).
screenshot - 25_06 002
Member: radiogugu
radiogugu Jun 26, 2024 at 04:57:00 (UTC)
Goto Top
Für mich stellt sich die Frage, wo die zweite PFSense steht / im Netzwerk zu verorten ist?

Oder ist diese an einem anderen Standort, wo auch der VPS steht?

Routerkaskaden sind genau für solche Konstrukte hakelig.

Der TP Link fungiert als Firewall/Router für das Firmennetzwerk, richtig?

Deine PFSense hat auf dem WAN Interface eine IP aus dem "Firmennetzwerk deiner Freunde" bekommen?

Wenn du Ports für IPSec vom TP-Link an deine PFSense weiterleitest, wird es für das vorgeschaltete "Firmennetzwerk deiner Freunde" schwierig werden selbst eine IPSec Verbindung aufzubauen.

Ich würde hier empfehlen, eine etwas größere Firewall mit PFSense installiert mit ausreichend Netzwerkanschlüssen anzuschaffen. Einen ordentlichen managed Layer 2 Switch dahinterstellen und die Firmennetzwerke entsprechend in VLANs trennen und mit Port Security auf MAC Basis oder/und Radius absichern.

Das reduziert die Komplexität für dich als Admin und du hast bessere Kontrolle über das ganze Konstrukt.

Am allerbesten wäre es natürlich wenn jedes Netzwerk einen eigenen Internetanschluss hätte.

Es liegt Glasfaser im Haus, nehme ich mal aufgrund der Skizze an.

Dann sollte das relativ schnell und ohne größeren Aufwand möglich sein eine weitere Leotung dorthin legen zu lassen.

Leider fehlt in der Skizze ein Hinweis auf die räumliche Situation.

Ist das ein Großraumbüro oder ein Gebäude mit mehreren Etagen?

Gruß
Marc
Member: vafk18
vafk18 Jun 26, 2024 updated at 06:05:47 (UTC)
Goto Top
Hallo Marc,

fast genauso wie Du beschreibst ist es. Nun denn, auch ich habe ein wenig geschmunzelt, als ich herausfand, daß an dem Router meiner Freunde sogar mehrere Einzelunternehmen hängen, alle im gleichen Netz.
Du schreibst beispielhaft, wie es optimal wäre. Aber ich bin neu in dem bzw. mit meinem Unternehmen und Du kannst Dir denken, wie ältere Herrschaften reagieren werden, wenn ein neuer - dazu von niemand beauftragter - Admin ihnen das jahrzehntelange Konzept auf den Kopf stellt. Ich werde das vorsichtig und diplomatisch angehen.

Bis dahin denke ich, daß ich mit meiner pfSense bestimmt weniger Ärger anstelle, als einer der Unternehmer, die sich bestimmt gar keine Gedanken machen, obwohl sie das gesamte Netz der anderen Unternehmer sehen...

Nun zu Deinen Fragen:
Der TP-Link ist FW und Router und dessen DHCP vergibt die IP-Adressen. Ich habe dort bereits eine feste IP für meine pfSense eingetragen. In den Regeln habe ich bei meiner IP einen bestimmten Port eingetragen und für ein- und ausgehendes Traffic freigeschaltet. Ich nehme an, daß ich UDP 500 und UDP 4500 eintragen muß, damit mein IPSec-Tunnel funktioniert - richtig?
Welche Regel muß ich dann in meiner pfSense eintragen oder war es das bereits?
Danke!
Member: aqui
Solution aqui Jun 26, 2024 updated at 07:43:38 (UTC)
Goto Top
alle im gleichen Netz.
Oha, wie gruselig! Mehr will man besser gar nicht wissen. Deine Anschlussweise ist die deutlich bessere, da sicherere Lösung. Sollten "die Anderen" als Beispiel nehmen! face-wink
Meine wichtigste Anforderung: pfSense soll von außen erreichbar sein
Dann genau wie im o.a. Tutorial im Kapitel Router Kaskade verfahren.
  • Port Forwarding von UDP 500, 4500 und ESP auf die WAN Port IP deiner pfSense wie beim Router Kaskaden Betrieb beschrieben.
  • Blocking der RFC1918 IP Netze am WAN Port deaktivieren
  • Client VPN einrichten wie in den beiden Foren Tutorials beschrieben. Welchens VPN Protokoll du verwendest ist Geschmackssache. Vorzuziehen wäre IKEv2. Beide verwenden die bei allen OS und Geräten vorhandenen, systemeigenen VPN Clients.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
  • Fertisch
Eine Sache von 30 Minuten! 😉
Member: radiogugu
Solution radiogugu Jun 26, 2024 updated at 11:52:00 (UTC)
Goto Top
Das was @aqui sagt machen, dann passt das.

Die anderen müssen dann bei einer eigenen IPSec Konfiguration nur darauf achten, dass die der Verbindungs-Aufbauende sind und nicht die Gegenstelle. Diese würde sich dann mit deiner PFSense unterhalten wollen, welche davon ja nichts versteht.

Wenn bei deinem VPS Hoster möglich, würde ich Wireguard als Tunnel anstelle von IPSec empfehlen. Ist ähnlich schlank und performant und da ja auf beiden Seiten eine PFSense stehen, schnell einzurichten.

Dann musst du im TP Link das IPSec Portforwarding-, NAT- (falls überhaupt gesetzt) und die Firewall-Regeln wieder entfernen und entsprechend durch UDP Port von Wireguard ersetzen.

Gruß
Marc
Member: vafk18
vafk18 Jun 26, 2024 at 12:44:19 (UTC)
Goto Top
@aqui

Vielen Dank und ich hoffe, daß alles gut bei Dir ist face-smile

Ich habe im TP-Link AC1200-Router UDP 500 und 4500 weitergeleitet. Allerdings finde ich nicht die Möglichkeit ESP weiterzuleiten. Habe auch nichts in der BDA des Routers gefunden.

In der Remote-pfSense trage ich bei IPSec im Remotegateway die feste IP-Adresse des übergeordneten Firmennetzwerks. Woher weiß der AC1200-Router, welche Pakete an meine pfSense an die Ports 500, 4500 und ESP weiteregeleitet werden? Wenn im Netzwerk mehrere IPSec-Tunnel eingerichtet sind, die über die eine feste IP angesprochen werden, woher weiß der Router, welches Paket zu welchem Tunnel gehört?

Aber vielleicht ist das alles gar nicht so kompliziert und das Problem liegt daran, daß ich den ESP noch nicht weiteregeleitet habe.

Welche Regeln muß ich zusätzlich in der pfSense (die in der Kaskade) anpassen, im Unterschied zu der bereits jahrelang funktionierenden Einstellung, wo die pfSense direkt am Internet hing (damals ein Telekom-DSL-Anschluß)?
Member: aqui
Solution aqui Jun 26, 2024 updated at 14:14:53 (UTC)
Goto Top
Allerdings finde ich nicht die Möglichkeit ESP weiterzuleiten.
Was soll man auch von so einer Chinesen Billo Gurke erwarten...?! 🙄
Belasse es so ohne, die meisten dieser Billo Teile forwarden ESP automatisch wenn sie UDP 4500 im Forward "sehen".

In der Remote-pfSense trage ich bei IPSec
Dann vergiss bitte was oben steht. Die dir dort geposteten VPN Tutorials sind Client VPN Tutorials also wenn du dich mit mobilen Endgeräten auf deine pfSense bzw. das lokale LAN dort verbinden willst. Es ist keine Site-to-Site VPN Anleitung wie du sie anstrebst wenn man deiner fortlaufenden Beschreibung richtig folgen kann?! Die sehen bekanntlich geringfügig anders aus wie z.B. hier:
PfSense IPsec hub and spoke
Wichtig ist hier dann wer VPN Client ist (Initiator, also der der die Tunnelverbindung initiiert) und wer VPN Responder (der, der die VPN Connection empfängt) ist.
Ggf. ob du mit DynDNS oder mit wechselnden WAN IPs auf einer Seite arbeiten musst.

In der Remote-pfSense trage ich bei IPSec im Remotegateway die feste IP-Adresse des übergeordneten Firmennetzwerks.
Richtig! 👍 Damit ist dann deine remote pfSense der Initiator und die hinter dem TP-Link der Responder. Ein simpler Site-to-Site Klassiker also.
Dies Tunnel Zieladresse ist immer die WAN Port IP Adresse des TP-Links.
  • Kläre vorab wasserdicht ob der TP eine feste WAN IP Adresse hat.
  • Und...kläre ob deine remote FW (Initiator) mit einer wechselnden IP (Zwangstrennung etc.) oder auch mit einer festen WAN IP daher kommt.

Woher weiß der AC1200-Router, welche Pakete an meine pfSense an die Ports 500, 4500 und ESP weiteregeleitet werden?
Diese Frage ist irgendwie sinnfrei, denn du hast oben doch selber schon kundgetan das du am Router ein Port Forwarding von UDP 500 und 4500 auf deine pfSense WAN IP eingetragen hast. 🤔
Folglich "weiss" doch dieser Router nun das alles was an UDP 500 und 4500 bei ihm landet an die WAN IP deiner pfSense geht. Komische Frage also die du schon vorab selber beantwortet hast... face-sad

Wenn im Netzwerk mehrere IPSec-Tunnel eingerichtet sind, die über die eine feste IP angesprochen werden
Das geht natürlich nicht. Zu mindestens nicht bei IPsec. Port Forwarding Regeln greifen bekanntlich immer nur einzigartig pro Port, sprich können bei IPsec mit festen Ports logischerweise nur einmal gesetzt sein. Wie sollte das PFW Device sonst entscheiden können??
Sollen mehrere IPsec VPN Tunnel mit unterschiedlichen Zielnetzen bedient werden musst du die TP-Link Billo Gurke gegen einen VPN fähigen Router oder eben auch eine Firewall wie die pfSense ersetzen.
Mit einer entsprechenden VLAN Segmentierung wie HIER beschrieben könnte man dann zusätzlich auch das mehr als gruselige Katastrophensetup von oben elegant lösen wo mehrere Firmen sich in einem gemeinsamen IP Netz tummeln. face-wink

Mit einem besseren Router als dem TP könnte man ein Policy basiertes Forwarding machen was dann nach Absender IP selektiert statt Port. Damit wären wieder selektive Port Forwardings möglich, fällt aber flach weil die TP Gurke so ein Feature nicht supportet. face-sad

Eine andere Möglichkeit wäre, wenn man denn unbedingt bei diesem unglücklichen Kaskaden Setup bleiben will, statt IPsec ein SSL basiertes VPN zu nutzen was erlaubt den UDP Port des Tunnels frei zu definieren wie z.B. bei Wireguard oder OpenVPN.
Hier kannst du jedem Tunnel dann individuell einen UDP Port zuweisen und diesen dann per individuellem Port Forwarding an die entsprechenden Endgeräte weiterleiten.
Es führen bekanntlich mehrere Wege nach Rom... face-wink
Entgegen der o.a. Empfehlung ist die WG Einrichtung auf der pfSense etwas sperrig zumal pfSense das auch über ein externes Package macht. Wenn möglich also besser immer das onboard IPsec vorziehen.

Aber vielleicht ist das alles gar nicht so kompliziert
In der Tat! 2 pfSenses per IPsec Site-to-Site koppeln ist ne simple Lachnummer und in 15 Minuten erledigt.

Welche Regeln muß ich zusätzlich in der pfSense
2 Regelwerke sind essentiell
  • Die Regel am WAN Port die eingehend mit Source "any" und Destination WAN IP Adress die Ports UDP 500 und 4500 und das ESP Protokoll erlaubt.
  • Das Regelwerk im IPsec Tunnelinterface! Hier solltest du für erste Tests immer eine "Scheunentorregel" Source = any Destination = any erstellen. Sie betrifft eh erstmal nur den rein internen Traffic ist also erstmal nicht sicherheitsrelevant.
⚠️ Wichtig noch bei bei der kaskadierten pfSense das dort das RFC 1918 Blocking am WAN Port entfernt wird!!
rfc.
Member: vafk18
vafk18 Jun 26, 2024 at 14:26:47 (UTC)
Goto Top
Jetzt habe ich alles eingerichtet. Der Tunnelaufbau fängt an, aber ich bekomme folgenden Fehler:

Jun 26 16:23:36 charon 42116 06[IKE] <con1|3765> received AUTHENTICATION_FAILED notify error
Jun 26 16:23:36 charon 42116 06[ENC] <con1|3765> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]

Bevor ich von vorne anfange; bis letzte Woche haben diese beiden pfSenses zusammengearbeitet. Oder muß ich den Preshared-Key neu generieren, weil ich umgezogen bin?
Member: aqui
Solution aqui Jun 26, 2024 updated at 14:41:18 (UTC)
Goto Top
Ohne deine Phase 1 und Phase 2 Konfigs beider Seiten zu kennen (Screenshots) endet alles in Kristallkugelei! face-sad
Nur mal vorsichtig nach der Fehlermeldung geraten.... Deine Peer IDs stimmen sehr wahscheinlich nicht in den gegenüberliegenden Seiten, deshalb scheitert die Authentication.
Wie authentisierst du also die Peers?? Per IP, Per FQDN?? 🤔
Ersteres würde bei wechselnden IPs scheitern.

Oder muß ich den Preshared-Key neu generieren, weil ich umgezogen bin?
Nein, das wäre Unsinn, denn der ändert sich ja bekanntlich durch einen Umzug nicht!
Was sich aber ändert ist sehr wahrscheinlich die Peer IP Adressse am neuen Standort. Leider kamen dazu von dir keinerlei Informationen. face-sad
Deshalb auch hier wieder die oben schon mehrfach gestellte Frage ob die remote pfSense, also der Initiator am Umzugsstandort, mit wechselnden IPs oder auch mit einer festen IP arbeitet?!
Dies ist für die Konfiguration des Responders (der kaskadierten pfSense in der "Firma") essentiell wichtig.
Member: vafk18
vafk18 Jun 26, 2024 updated at 15:33:35 (UTC)
Goto Top
Uuf! Bin ich blöd... Jetzt habe ich bei beiden pfSenses die andere IP eingetragen und es geht!

1000 Dank an Dich aqui + andere!!!
Member: aqui
aqui Jun 26, 2024 at 16:10:48 (UTC)
Goto Top
👏 👍
Member: vafk18
vafk18 Jun 26, 2024 at 17:25:57 (UTC)
Goto Top
Jetzt kommt der nächste Vermutstropfen: das IPSec ist sooooo langsam. Aus einem anderen Thread von aqui habe ich das schon verstanden. Es liegt an dem alten Router. Also der sollte auch demnächst ersetzt werden. Wenn ich nun OpenVPN versuche, wird es schneller oder wird das Problem bei jeder Weiterleitung eines Ports bei solche alten Gurken bestehen?
Member: aqui
aqui Jun 27, 2024 updated at 12:21:48 (UTC)
Goto Top
Benutzt du IKEv1 oder das schnellere IKEv2 ?
Checke auch einmal ob du in ein MTU bzw. MSS Problem gelaufen bist was häufig ist in solchen Kaskaden Setups ganz besonders wenn der davorliegende Router einen PPPoE Anschluss hat. Bei zu großer Tunnel MTU muss dann jedes Paket fragmentiert werden was die Performance in den Orkus reisst. Immer das MSS Clamping im pfSense setup bei VPN aktivieren!
https://blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
https://kb.netgear.com/de/19863/Ping-Test-zur-Ermittlung-der-optimalen-M ...
https://gprivate.com/6by7b
ipsec mtu

Zum Thema OVPN sagt ein Bild mehr als 1000 Worte... Löst ein ggf. vorhandenes MTU Problem auch nicht.
perf
Das ist also ganz sicher keine Option sondern eher Regen und Traufe...
Member: vafk18
vafk18 Jun 27, 2024 updated at 07:39:09 (UTC)
Goto Top
@aqaui
Ja, das Bild sagt alles aus! face-smile

Der Internetanschluß ist Glasfaser.

Bevor ich mich mit dieser alten Gurke TP-Link AC1200 ärgere, wäre es nicht besser, daß ich meinen Freunden eine pfSense, z.B. auf einem Einplatinencomputer einrichte und den AC1200 ersetze, bzw. dieser nur noch das WLAN wie bisher bereitstellt?

In dem Gebäude sind ca. 4 verschiedene Kleinunternehmer. Wenn ich 4 VLAN's einrichte, können dann alle Unternehmen die gängigen VPN-Tunnel (IPSec, Wireguard, OpenVPN) nutzen, obwohl am Internetanschluß nur eine einzige feste IP-Adresse ist?

Beste Grüße
vafk18

P.S. Das Thema wäre dann sicher Dein Lieblingsgebiet... Und ich würde mich zusammenreißen und es step-bei-step dokumentieren, damit der Nächste daraus lernt face-smile
Member: aqui
aqui Jun 27, 2024 at 07:50:34 (UTC)
Goto Top
Der Internetanschluß ist Glasfaser.
Beantwortet leider nicht die Frage ob dort PPPoE zum Provider gemacht wird! face-sad
eine pfSense, z.B. auf einem Einplatinencomputer einrichte und den AC1200 ersetze
Das wäre die mit Abstand beste Lösung!
Damit liesse sich, wie oben schon gesagt, nicht nur der unsichere Betrieb mehrerer Firmen in einem gemeinsamen IP Netz lösen sondern es wäre auch gleich die Kaskadierung überflüssig.
Wenn ich 4 VLAN's einrichte, können dann alle Unternehmen die gängigen VPN-Tunnel (IPSec, Wireguard, OpenVPN) nutzen, obwohl am Internetanschluß nur eine einzige feste IP-Adresse ist?
Ja, und das sogar sicher voneinander getrennt. Das ist genau der große Vorteil dieser Lösung.
Und ich würde mich zusammenreißen und es step-bei-step dokumentieren
Das macht dich dann zum Forenhelden! 😉