philippe27
Goto Top

Mehrere einzelne VPN Zugänge mit pfSense

Hallo zusammen

Ich suche eine geeignete einfache Lösung für den Fernzugriff auf das Kundennetzwerk bzw. deren Geräte.

Bei mir im Büro wird eine pfSense inkl. entsprechender fixen IP betrieben.
Bei den Kunden ist entweder eine pfSense als Firewall eingerichtet (simple Lösung mit IPsec VPN möglich) oder aber der Kunde hat ein einfacher Router und hinter diesem soll eine pfSense hinkommen ohne entsprechende fix IP.
Siehe Bild.

Bei zweiter Variante steht die pfSense als NAT Gerät dar, dass bedeutet mit IPsec VPN wird es schwierig erst recht wenn keine fixe IP oder DynDNS vorhanden ist.
Daher war meine Idee das ganze mit OpenVPN zu lösen.

Geht auch wie ein Test zeigt, aber hier kommt der Hacken:
- Ich möchte nicht das alle VPN's dauerhaft aktiv sind.
- Ich möchte gerne den gerade nötigen VPN von meinem Büro aus aktiveren/deaktiveren

Wie könnte ich dies machen?
Oder gibt es neben OpenVPN noch eine andere Möglichkeit?

Vielen Dank für eure Ideen.

Gruss Philippe
lösungssuche vpn

Content-ID: 340534

Url: https://administrator.de/contentid/340534

Ausgedruckt am: 27.11.2024 um 04:11 Uhr

Pjordorf
Pjordorf 14.06.2017 aktualisiert um 03:42:40 Uhr
Goto Top
Hallo,

Zitat von @Philippe27:
Fernzugriff auf das Kundennetzwerk bzw. deren Geräte.
Aha, Dienstleister

Bei mir im Büro wird eine pfSense inkl. entsprechender fixen IP betrieben.
Vermutlich willst du uns sagen das dein ISP die eine Statische Öffentliche IP gibt.

Bei den Kunden ist entweder eine pfSense als Firewall eingerichtet (simple Lösung mit IPsec VPN möglich) oder aber der Kunde hat ein einfacher Router und hinter diesem soll eine pfSense hinkommen ohne entsprechende fix IP.
Auch wenn ein Kunden eine Routerkaskade betreiben will (du zumindest willst das ja dann) hat die PFSende doch immer eine Feste IP oder?

Bei zweiter Variante steht die pfSense als NAT Gerät dar
Warum?

dass bedeutet mit IPsec VPN wird es schwierig erst recht wenn keine fixe IP oder DynDNS vorhanden ist.
In deiner Routerkaskade ists doch wurscht wie die IP von aussen ankommt, DynDNS oder Statisch halt. Die PFSense hat immer ein Feste IP (LAN) und wenn die nur VPN tun soll, braucht es kein NAT.

Geht auch wie ein Test zeigt, aber hier kommt der Hacken:
Hacken tun meistens Gärtner oder Bauarbeiter face-smile Du meinst sicherlich haken.

- Ich möchte nicht das alle VPN's dauerhaft aktiv sind.
Sollen es denn Standort zu Standort VPNs werden oder redest du von Client (Dein Rechner) zu Server VPNs werden? Bei Standort zu Standort ist es eher so das die Verbindung immer steht. Hast du 20 Kundennetze - ergo auch 20 stehende VPN Leitungen - immer. (und auch die möglichkeit deine Kunden in einen Rutsch zu Infizieren)

- Ich möchte gerne den gerade nötigen VPN von meinem Büro aus aktiveren/deaktiveren
Tus doch, deine PFSense kannste doch vom deinem Büro erreichen, oder?

Oder gibt es neben OpenVPN noch eine andere Möglichkeit?
Vie wenige VPN Typen kennst du denn? Sicher gibt es noch andere. IPSec hast du ja schon erwähnt, PPTP, L2TP / IPSec, SSL VPN usw. usw. usw.

Warum nicht die Router der Kunden nehmen wenn die VPN können?

Gruß,
Peter
aqui
aqui 14.06.2017 um 08:50:12 Uhr
Goto Top
(simple Lösung mit IPsec VPN möglich)
Oder mit OpenVPN oder mit PPTP....du hast die freie Wahl !
Bei zweiter Variante steht die pfSense als NAT Gerät dar,
Das ist sie generell IMMER es sei denn du schaltest das im Setup willentlich ab !
dass bedeutet mit IPsec VPN wird es schwierig erst recht wenn keine fixe IP oder DynDNS vorhanden ist.
Wie immer natürlich technischer Blödsinn, denn dafür gibt es bei IPsec NAT Traversal und man kann einen DynDNS Dienst wie z.B. no-ip usw. nutzen.
Oder man nutzt ein SSL basiertes VPN Protokoll wie OpenVPN da stellt sich diese Problematik gar nicht erst.
ber hier kommt der Hacken:
Hacken hat man unten am Fuß oder benutzt es im Garten:
https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
https://de.wikipedia.org/wiki/Ferse
Mit VPNs hat das sehr wenig zu tun aber vermutlich meinst du einen simplen Haken ?!
Wie könnte ich dies machen?
Keine LAN to LAN VPNs realisieren, sondern Client VPNs die sich bei Bedarf einwählen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Außerdem kannst du die VPN Tunnel im pfSense Setup auch manuell mit einem "Haken" aktivieren oder deaktivieren. Solltest du eigentlich gesehen haben beim Setup ?! Sie bringt also diese Option von Haus aus mit.
Oder gibt es neben OpenVPN noch eine andere Möglichkeit?
Das ist ja keine ander Möglichkeit, denn dort willst du den Tunnel ja auch willentlich steuern. Ein anderes VPN Protokoll hat damit nicht das Geringste zu tun.
Zum Rest hat Kollege pjordorf ja schon alles gesagt.