Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monowall im RZ - IPsec mehrere Standorte

Mitglied: Kaoth123

Kaoth123 (Level 1) - Jetzt verbinden

18.06.2019 um 17:04 Uhr, 414 Aufrufe, 11 Kommentare

Hallo zusammen,

ich habe in einem RZ eine Monowall am laufen.
Über diese Monowall melden sich die beiden Standorte an.
Die Verbindungen bestehen. Ich komme von der Monowall auf beide Standorte.
Auch von den beiden Standorten komme ich an die Monowall.

Was muss ich noch machen, dass die beiden Standorte über die Monowall kommunizieren können?

Netz der Monowall im RZ :10.1.1.0 / 24
Netz Standort A : 10.2.2.0 /24
Netz Standort A : 10.3.2.0 /24

Ich hoffe, dass Ihr mir helfen könnt.
Mitglied: adminst
18.06.2019 um 17:22 Uhr
Hallo Kaoth123
Wenn du wirklich noch eine Monowall einsetzt, würde ich schleunigst auf
eine Pfsense oder Opensense wechseln. Monowall wird schon lange nicht
mehr weiterentwickelt.

Gruss
adminst
Bitte warten ..
Mitglied: aqui
18.06.2019, aktualisiert um 17:29 Uhr
Uuhhh böses Faul ! Die Monowall ist töter als tot, da nicht mehr supportet. IPsec solltest du wegen der vollkommen veralteten Firmware und dem schon lange eingestellten Support und Bugfixing da nicht mehr mit laufen lassen. Solltest du dringenst in eine moderne pfSense umflashen. Das ist das Schwesterprojekt (Fork) der Monowall. Kollege @adminst hat es oben auch schon richtig gesagt.
Alternativ OpenSense. pfSense und Opensense sind identisch. Opensense gibts mit deutschem GUI und die Entwicklung ist in der EU. pfSense ist aber derzeit noch stabiler.

Wenn du ein APU Board oder eine Intel Plattform hast ist das ein paar Minuten erledigt.
Guckst du hier:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...

Das IPsec Standort VPN ist dann in 5 Minuten aufgesetzt.
Guckst du hier:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...

Willst du on Top noch ein VPN Dialin für mobile User guckst du hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Ist einfach und schnell gemacht. Nur Monowall solltest du auf keinen Fall mehr einsetzen.
Bitte warten ..
Mitglied: ChriBo
18.06.2019 um 20:36 Uhr
Hi,
unabhängig davon, daß die Monowall dringest durch eine aktuelle Firewall ersetzt werden sollte (besser:muß),
was meinst du mit "Über diese Monowall melden sich die beiden Standorte ab" ?
Was für ein Protokoll, welche Firewall / Router haben die beiden Standorte ?
-
Wenn du ein Hub and Spoke Szenario (Erklärung z.B. hier über VPN erstellen willst, kann es mit Monowall, pfSense bzw. OPNsense unmöglich einzurichten sein.

CH
Bitte warten ..
Mitglied: Kaoth123
19.06.2019 um 08:52 Uhr
Hallo zusammen,

besten Dank für die Infos. Mir ist bewusst, dass die Monowall nicht mehr der Technik entspricht.
Leider ist die Funktionen, die ich benötige in der PFsense und OPNsense deaktiviert.
Dabei handelt es sich um den "Aggressive mode" in verbindung mit IKEv1 und mobile User.
Aus Sicherheitsgründen natürlich deaktiviert. Leider benötige ich das aber.
Es sind natürlich nicht wie in meinem Beispiel nur zwei Standorte sondern mehr als 100.
Diese Router beim Kunden kann ich logistisch nicht alle einfach tauschen.

Daher bezieht sich meine Frage auf die Monowall. Wie "ChriBo" schon gesagt hat, benötige ich ein Hub and Spoke Szenario.
Zur zeit nutzt die Monowall IPsec als VPN. Bei den Kunden sind low budget Router verbaut. Diese haben auch schon ein paar Jahre auf dem Buckel.

Ich hoffe, ich konnte noch mehr Licht ins dunkle bringen.
Bitte warten ..
Mitglied: aqui
19.06.2019, aktualisiert um 09:13 Uhr
Leider ist die Funktionen, die ich benötige in der PFsense und OPNsense deaktiviert.
Das ist natürlich wie immer völliger Quatsch ! Wäre auch Blödsinn, da die pfSense und auch die Opensense alle Features der Monowall beibehalten haben.
Der Agressive Mode oder Quick Mode ist essentiell bei IPsec wenn man Hersteller übergreifende Tunnel aufsetzt.
Vergiss also diesen Blödsinn. Fragt sich auch woher du solche Fehleinformation hast ?
Hier ein Screenshot das die aktuelle pfSense Version sehr wohl den Aggressive Mode mit IKEv1 bei Mobile Usern supportet:
1.) Mobile User aktiviert:

mob2 - Klicke auf das Bild, um es zu vergrößern

2.) Mobile User Phase 1 Tunnel Customizing:

mob1 - Klicke auf das Bild, um es zu vergrößern

Fazit:
pfSense flashen und gut iss !! Zeigt auch das du dir bis dato wohl nie die Mühe gemacht hast einfach mal ein Live System von einem USB Stick zu booten. Das hätte dic h 5 Minuten gekostet und du hättest selbst gesehen das deine Information barer Usinn ist.
Das Tunnel Setup ist ein Kinderspiel damit.
Bitte warten ..
Mitglied: Kaoth123
19.06.2019, aktualisiert um 09:54 Uhr
Hallo "aqui".....

ich habe dieses Szenario sehr wohl getestet. Nur weil das dort steht, heißt es nicht, dass es funktioniert!
Im Log steht dann, dass diese VPN Verbindung aus Sicherheitsgründen nicht aufgebaut werden kann.
In der Implementierung von strongSwan ist das deaktiviert. Hier der Auszug aus dem Strongswan Wiki:

Aggressive Mode is therefore incompatible with the basic principles of the strongSwan project
which is to deliver a product that meets high security standards.


Wenn du mir erklärst, wie ich es in der Pfsense oder OPNsense über die strongswan.conf wieder aktivieren kann....


Ich kann also den Ball ohne Probleme wieder zurück geben und auch behaupten, dass du so eine Funktion selber noch nie mit der PFsense bzw. OPNsense realisiert hast. Dann wäre dir dieses Problem bekannt.
Bitte warten ..
Mitglied: aqui
19.06.2019, aktualisiert um 09:58 Uhr
Nein, das ist Unsinn.
Getestet mit so gut wie allen VPN Clients und auch Linux Strongswan auf einem Raspberry Pi mit IKEv1 als Client.
Alles funktioniert fehlerlos. Aber egal....wenn es ausnahmsweise nur bei dir so ist, dann ist es eben so. Das respektieren wir dann.
Vielleicht solltest du wirklich nochmal in Ruhe deine Strategie für die Zukunft überdenken:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Es widerspricht ja auch diametral dem Thread Thema, denn da redest du ja klar von Standort Vernetzung. Diese aber ist im Setup anders und funktioniert AUCH fehlerlos mit IKEv1 und Agressive Mode. Und das auch mit den unterschiedlichsten LAN to LAN Routern und Firewalls auf der anderen Seite. Mit pfSense/OpenSense als Gegenpart ja sowieso...

Case closed
Bitte warten ..
Mitglied: Kaoth123
19.06.2019 um 10:07 Uhr
Wir können das gerne gemeinsam Privat einmal testen. Solltest du Interesse daran haben.
Bitte warten ..
Mitglied: Kaoth123
19.06.2019 um 10:10 Uhr
Genau. Standortvernetzung war das Thema.


Die Standorte verbinden sich über den Mobile Mode, da diese keine feste IP Haben.
Was muss ich nun machen, dass ich von einem Standort den Traffic über das RZ bekomme und das dann zum nächsten Standort gelangt.
"Hub and Spoke" wie ich hier gerade gelernt habe... Meine Verbindung geht immer nur in das RZ. Da ist der gemeinsamem Knoten und komme von dort nicht weiter.
Bitte warten ..
Mitglied: ChriBo
19.06.2019 um 19:07 Uhr
Hi Kaoth123
Geht nicht mit Monowall, pfSense und OPNsense mit IPsec VPN,
war / ist immer schon ein Manko.
Ab pfSense Version 2.4.4 kann es ggf. mit Routed IPsec auf einer pfSense funktionieren,
dann müssen aber alle beteiligten Firewalls routed IPsec können, d.h. du benötigst auch an jedem kleinen Standort eine pfSense.
Ich selber habe es noch nicht getestet ob und wie es funktioniert.
-
Cisco ASAs und wahrscheinlich auch JuniperFirewalls können Hub and Spoke über IPsec, ist ggf. auszuprobieren.
-
Bei den Kunden sind low budget Router verbaut
..
Es sind natürlich nicht wie in meinem Beispiel nur zwei Standorte sondern mehr als 100.
Diese Router beim Kunden kann ich logistisch nicht alle einfach tauschen.

Ohne den genauen Hintergrund zu kennen, warum du alle Standorte bei verschiedenen Kunden miteinander vernetzen willst/mußt:
VPN über eine alte Monowall und über Billigrouter mit IKEv1 ist meiner Meinung nach schon grenzwertig.
Dann noch alle Standorte untereinander zu vernetzen ist Wahnsinn.

In unserem Unternehmen haben wir auch Außenstandorte bei anderen Unternehmen, besser: Wir haben einen Server mit dahinter geschaltetem "Techniknetz". Sowohl der Server als auch das dahinter liegende Techniknetz sind 100% vom Kundennetz getrennt.
Unsere Anforderung: stellt uns eine eigene öffentliche IP Adresse aus dem vorhandenem statischen Pool zur Verfügung, ist dies nicht möglich besorgt eine eigene VDSL Leitung mit Modem für uns. Wir liefern eine pfSense auf einem APU board, die wir unter unserer Kontrolle haben.
hier kann ich dann nach Bedarf VPNs und Firewall Regeln zu unserer Technik einrichten.

logistisch sehe ich den Austausch von 100 Routern als kein wirkliches Problem; Monitär und von der Manpower her kann es eine Herausforderung werden, bzw. es muß auch vernünftig geplant werden.

Gruß
CH
Bitte warten ..
Mitglied: aqui
20.06.2019, aktualisiert um 09:38 Uhr
Dann noch alle Standorte untereinander zu vernetzen ist Wahnsinn.
Richtig !
Ein vollkommen laienhaftes und schlecht geplantes Design. Kein Netzwerker würde es so lösen. OK, wir kennen die genauen Details nicht aber bei 100 Standorten nutzt man immer ein dynamisches Routing und niemals irgendwas statisches wie ogen schon richtig gesagt.
Das wäre ein sinnvolles VPN Design mit Standorten in dieser Anzahl. Kollege @ChriBo hat es oben ja schon beschrieben auch was den Austausch der Firewalls mit pfSense anbetrifft.
Sowohl das eine als auch das andere rennt mit der 2.4.4er Version. Oder man nimmt preiswerte Alternative Router von Mikrotik. Die gibt es schon ab 20 Euro mit WLAN:
https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
und die können sowas ebenso problemlos. Übrigens auch IKEv1 im Agressive Mode wenns denn unbedingt sein muss.

Wie man dann ein einen solchen sinnvollen und Management armen Standort VPN Verbund aufsetzt erklärt dieses Foren Tutorial:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
Die pfSense supportet übrigens ebenso den Transport Mode und GRE Tunneling.
Bitte warten ..
Ähnliche Inhalte
Netzwerke

IPsec VPN Praxis mit Standort Kopplung zw. Cisco, IPCop, pfSense, FritzBox und mehr

Anleitung von aquiNetzwerke20 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eine Erweiterung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und soll in loser ...

Tipps & Tricks

RZ als Serverschrank gesucht

Frage von MichiBLNNTipps & Tricks9 Kommentare

Hallo, wir möchten unsere Server in einem Schrank unterbringen, der ähnliche Funktionen wie ein Rechenzentrum besitzt. (Klima, Löschen, USV, ...

TK-Netze & Geräte

Suche Empfehlung: Beratungsunternehmen RZ-Infrastruktur

gelöst Frage von JaypieTK-Netze & Geräte4 Kommentare

Hallo, wir möchten unser Rechenzentrum gerne modernisieren. Vorallem im Punkt der Glasfaseranbindung unterhalb der RZ-Räume und Standorte, sowie der ...

Hosting & Housing

Server Hardware im RZ mieten

gelöst Frage von flabsHosting & Housing10 Kommentare

Hallo, ich bin auf der Suche nach einem Anbieter der Server bzw. Storagehardware im RZ vermietet. Wir wollen Kopien ...

Neue Wissensbeiträge
Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 17 StundenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 1 TagBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Windows Update

Windows 10 1903 Updates über Wsus erst nach Auswahl weiterer Produktkategorie

Information von Spirit-of-Eli vor 2 TagenWindows Update6 Kommentare

Moin, den Tipp habe ich hier noch nicht gesehen. Er adressiert all diejenigen, die Windows 10 1903 über einen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Unerklärlicher Gestank im EDV-Raum - "neues" Gebäude und keine offenkundige Ursache feststellbar!
Frage von VGem-eErkennung und -Abwehr28 Kommentare

Moin Kollegen, ich habe seit heute Morgen das Problem, dass in unserem EDV-Raum ein total unerklärbarer Gestank herrscht! Ich ...

LAN, WAN, Wireless
Warum ist die Datenübertragung per WLAN zu bestimmten Servern sehr langsam?
Frage von PluwimLAN, WAN, Wireless16 Kommentare

Hallo Netzwerker, beim Einrichten des Notebooks für einen Bekannten fiel mir auf, dass Downloads per WLAN teilweise extrem lahm ...

Verschlüsselung & Zertifikate
Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?
Frage von PluwimVerschlüsselung & Zertifikate15 Kommentare

Guten Morgen, bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ...

Debian
Für Anmeldung an Linux Server AD Credentials verwenden ohne Domäne zu joinen
gelöst Frage von AlchimedesDebian14 Kommentare

Hallo , ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das ...