Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monowall im RZ - IPsec mehrere Standorte

Mitglied: Kaoth123

Kaoth123 (Level 1) - Jetzt verbinden

18.06.2019 um 17:04 Uhr, 653 Aufrufe, 11 Kommentare

Hallo zusammen,

ich habe in einem RZ eine Monowall am laufen.
Über diese Monowall melden sich die beiden Standorte an.
Die Verbindungen bestehen. Ich komme von der Monowall auf beide Standorte.
Auch von den beiden Standorten komme ich an die Monowall.

Was muss ich noch machen, dass die beiden Standorte über die Monowall kommunizieren können?

Netz der Monowall im RZ :10.1.1.0 / 24
Netz Standort A : 10.2.2.0 /24
Netz Standort A : 10.3.2.0 /24

Ich hoffe, dass Ihr mir helfen könnt.
Mitglied: adminst
18.06.2019 um 17:22 Uhr
Hallo Kaoth123
Wenn du wirklich noch eine Monowall einsetzt, würde ich schleunigst auf
eine Pfsense oder Opensense wechseln. Monowall wird schon lange nicht
mehr weiterentwickelt.

Gruss
adminst
Bitte warten ..
Mitglied: aqui
18.06.2019, aktualisiert um 17:29 Uhr
Uuhhh böses Faul ! Die Monowall ist töter als tot, da nicht mehr supportet. IPsec solltest du wegen der vollkommen veralteten Firmware und dem schon lange eingestellten Support und Bugfixing da nicht mehr mit laufen lassen. Solltest du dringenst in eine moderne pfSense umflashen. Das ist das Schwesterprojekt (Fork) der Monowall. Kollege @adminst hat es oben auch schon richtig gesagt.
Alternativ OpenSense. pfSense und Opensense sind identisch. Opensense gibts mit deutschem GUI und die Entwicklung ist in der EU. pfSense ist aber derzeit noch stabiler.

Wenn du ein APU Board oder eine Intel Plattform hast ist das ein paar Minuten erledigt.
Guckst du hier:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...

Das IPsec Standort VPN ist dann in 5 Minuten aufgesetzt.
Guckst du hier:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...

Willst du on Top noch ein VPN Dialin für mobile User guckst du hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Ist einfach und schnell gemacht. Nur Monowall solltest du auf keinen Fall mehr einsetzen.
Bitte warten ..
Mitglied: ChriBo
18.06.2019 um 20:36 Uhr
Hi,
unabhängig davon, daß die Monowall dringest durch eine aktuelle Firewall ersetzt werden sollte (besser:muß),
was meinst du mit "Über diese Monowall melden sich die beiden Standorte ab" ?
Was für ein Protokoll, welche Firewall / Router haben die beiden Standorte ?
-
Wenn du ein Hub and Spoke Szenario (Erklärung z.B. hier über VPN erstellen willst, kann es mit Monowall, pfSense bzw. OPNsense unmöglich einzurichten sein.

CH
Bitte warten ..
Mitglied: Kaoth123
19.06.2019 um 08:52 Uhr
Hallo zusammen,

besten Dank für die Infos. Mir ist bewusst, dass die Monowall nicht mehr der Technik entspricht.
Leider ist die Funktionen, die ich benötige in der PFsense und OPNsense deaktiviert.
Dabei handelt es sich um den "Aggressive mode" in verbindung mit IKEv1 und mobile User.
Aus Sicherheitsgründen natürlich deaktiviert. Leider benötige ich das aber.
Es sind natürlich nicht wie in meinem Beispiel nur zwei Standorte sondern mehr als 100.
Diese Router beim Kunden kann ich logistisch nicht alle einfach tauschen.

Daher bezieht sich meine Frage auf die Monowall. Wie "ChriBo" schon gesagt hat, benötige ich ein Hub and Spoke Szenario.
Zur zeit nutzt die Monowall IPsec als VPN. Bei den Kunden sind low budget Router verbaut. Diese haben auch schon ein paar Jahre auf dem Buckel.

Ich hoffe, ich konnte noch mehr Licht ins dunkle bringen.
Bitte warten ..
Mitglied: aqui
19.06.2019, aktualisiert um 09:13 Uhr
Leider ist die Funktionen, die ich benötige in der PFsense und OPNsense deaktiviert.
Das ist natürlich wie immer völliger Quatsch ! Wäre auch Blödsinn, da die pfSense und auch die Opensense alle Features der Monowall beibehalten haben.
Der Agressive Mode oder Quick Mode ist essentiell bei IPsec wenn man Hersteller übergreifende Tunnel aufsetzt.
Vergiss also diesen Blödsinn. Fragt sich auch woher du solche Fehleinformation hast ?
Hier ein Screenshot das die aktuelle pfSense Version sehr wohl den Aggressive Mode mit IKEv1 bei Mobile Usern supportet:
1.) Mobile User aktiviert:

mob2 - Klicke auf das Bild, um es zu vergrößern

2.) Mobile User Phase 1 Tunnel Customizing:

mob1 - Klicke auf das Bild, um es zu vergrößern

Fazit:
pfSense flashen und gut iss !! Zeigt auch das du dir bis dato wohl nie die Mühe gemacht hast einfach mal ein Live System von einem USB Stick zu booten. Das hätte dic h 5 Minuten gekostet und du hättest selbst gesehen das deine Information barer Usinn ist.
Das Tunnel Setup ist ein Kinderspiel damit.
Bitte warten ..
Mitglied: Kaoth123
19.06.2019, aktualisiert um 09:54 Uhr
Hallo "aqui".....

ich habe dieses Szenario sehr wohl getestet. Nur weil das dort steht, heißt es nicht, dass es funktioniert!
Im Log steht dann, dass diese VPN Verbindung aus Sicherheitsgründen nicht aufgebaut werden kann.
In der Implementierung von strongSwan ist das deaktiviert. Hier der Auszug aus dem Strongswan Wiki:

Aggressive Mode is therefore incompatible with the basic principles of the strongSwan project
which is to deliver a product that meets high security standards.


Wenn du mir erklärst, wie ich es in der Pfsense oder OPNsense über die strongswan.conf wieder aktivieren kann....


Ich kann also den Ball ohne Probleme wieder zurück geben und auch behaupten, dass du so eine Funktion selber noch nie mit der PFsense bzw. OPNsense realisiert hast. Dann wäre dir dieses Problem bekannt.
Bitte warten ..
Mitglied: aqui
19.06.2019, aktualisiert um 09:58 Uhr
Nein, das ist Unsinn.
Getestet mit so gut wie allen VPN Clients und auch Linux Strongswan auf einem Raspberry Pi mit IKEv1 als Client.
Alles funktioniert fehlerlos. Aber egal....wenn es ausnahmsweise nur bei dir so ist, dann ist es eben so. Das respektieren wir dann.
Vielleicht solltest du wirklich nochmal in Ruhe deine Strategie für die Zukunft überdenken:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Es widerspricht ja auch diametral dem Thread Thema, denn da redest du ja klar von Standort Vernetzung. Diese aber ist im Setup anders und funktioniert AUCH fehlerlos mit IKEv1 und Agressive Mode. Und das auch mit den unterschiedlichsten LAN to LAN Routern und Firewalls auf der anderen Seite. Mit pfSense/OpenSense als Gegenpart ja sowieso...

Case closed
Bitte warten ..
Mitglied: Kaoth123
19.06.2019 um 10:07 Uhr
Wir können das gerne gemeinsam Privat einmal testen. Solltest du Interesse daran haben.
Bitte warten ..
Mitglied: Kaoth123
19.06.2019 um 10:10 Uhr
Genau. Standortvernetzung war das Thema.


Die Standorte verbinden sich über den Mobile Mode, da diese keine feste IP Haben.
Was muss ich nun machen, dass ich von einem Standort den Traffic über das RZ bekomme und das dann zum nächsten Standort gelangt.
"Hub and Spoke" wie ich hier gerade gelernt habe... Meine Verbindung geht immer nur in das RZ. Da ist der gemeinsamem Knoten und komme von dort nicht weiter.
Bitte warten ..
Mitglied: ChriBo
19.06.2019 um 19:07 Uhr
Hi Kaoth123
Geht nicht mit Monowall, pfSense und OPNsense mit IPsec VPN,
war / ist immer schon ein Manko.
Ab pfSense Version 2.4.4 kann es ggf. mit Routed IPsec auf einer pfSense funktionieren,
dann müssen aber alle beteiligten Firewalls routed IPsec können, d.h. du benötigst auch an jedem kleinen Standort eine pfSense.
Ich selber habe es noch nicht getestet ob und wie es funktioniert.
-
Cisco ASAs und wahrscheinlich auch JuniperFirewalls können Hub and Spoke über IPsec, ist ggf. auszuprobieren.
-
Bei den Kunden sind low budget Router verbaut
..
Es sind natürlich nicht wie in meinem Beispiel nur zwei Standorte sondern mehr als 100.
Diese Router beim Kunden kann ich logistisch nicht alle einfach tauschen.

Ohne den genauen Hintergrund zu kennen, warum du alle Standorte bei verschiedenen Kunden miteinander vernetzen willst/mußt:
VPN über eine alte Monowall und über Billigrouter mit IKEv1 ist meiner Meinung nach schon grenzwertig.
Dann noch alle Standorte untereinander zu vernetzen ist Wahnsinn.

In unserem Unternehmen haben wir auch Außenstandorte bei anderen Unternehmen, besser: Wir haben einen Server mit dahinter geschaltetem "Techniknetz". Sowohl der Server als auch das dahinter liegende Techniknetz sind 100% vom Kundennetz getrennt.
Unsere Anforderung: stellt uns eine eigene öffentliche IP Adresse aus dem vorhandenem statischen Pool zur Verfügung, ist dies nicht möglich besorgt eine eigene VDSL Leitung mit Modem für uns. Wir liefern eine pfSense auf einem APU board, die wir unter unserer Kontrolle haben.
hier kann ich dann nach Bedarf VPNs und Firewall Regeln zu unserer Technik einrichten.

logistisch sehe ich den Austausch von 100 Routern als kein wirkliches Problem; Monitär und von der Manpower her kann es eine Herausforderung werden, bzw. es muß auch vernünftig geplant werden.

Gruß
CH
Bitte warten ..
Mitglied: aqui
20.06.2019, aktualisiert um 09:38 Uhr
Dann noch alle Standorte untereinander zu vernetzen ist Wahnsinn.
Richtig !
Ein vollkommen laienhaftes und schlecht geplantes Design. Kein Netzwerker würde es so lösen. OK, wir kennen die genauen Details nicht aber bei 100 Standorten nutzt man immer ein dynamisches Routing und niemals irgendwas statisches wie ogen schon richtig gesagt.
Das wäre ein sinnvolles VPN Design mit Standorten in dieser Anzahl. Kollege @ChriBo hat es oben ja schon beschrieben auch was den Austausch der Firewalls mit pfSense anbetrifft.
Sowohl das eine als auch das andere rennt mit der 2.4.4er Version. Oder man nimmt preiswerte Alternative Router von Mikrotik. Die gibt es schon ab 20 Euro mit WLAN:
https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
und die können sowas ebenso problemlos. Übrigens auch IKEv1 im Agressive Mode wenns denn unbedingt sein muss.

Wie man dann ein einen solchen sinnvollen und Management armen Standort VPN Verbund aufsetzt erklärt dieses Foren Tutorial:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
Die pfSense supportet übrigens ebenso den Transport Mode und GRE Tunneling.
Bitte warten ..
Ähnliche Inhalte
Tipps & Tricks
RZ als Serverschrank gesucht
Frage von MichiBLNNTipps & Tricks9 Kommentare

Hallo, wir möchten unsere Server in einem Schrank unterbringen, der ähnliche Funktionen wie ein Rechenzentrum besitzt. (Klima, Löschen, USV, ...

LAN, WAN, Wireless

IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

Anleitung von aquiLAN, WAN, Wireless1 Kommentar

1.) Allgemeine Einleitung: Dieses Tutorial ist eine kurze Ergänzung zum allgemeinen IPsec Site_to_Site_VPN_Tutorial hier im Forum. Dieses Tutorial schildert ...

TK-Netze & Geräte

Suche Empfehlung: Beratungsunternehmen RZ-Infrastruktur

gelöst Frage von JaypieTK-Netze & Geräte4 Kommentare

Hallo, wir möchten unser Rechenzentrum gerne modernisieren. Vorallem im Punkt der Glasfaseranbindung unterhalb der RZ-Räume und Standorte, sowie der ...

Hosting & Housing

Server Hardware im RZ mieten

gelöst Frage von flabsHosting & Housing10 Kommentare

Hallo, ich bin auf der Suche nach einem Anbieter der Server bzw. Storagehardware im RZ vermietet. Wir wollen Kopien ...

Neue Wissensbeiträge
Exchange Server

Exchange Server 2016 and the End of Mainstream Support

Information von Dani vor 25 MinutenExchange Server

As hopefully many of you already know Exchange Server 2016 enters the Extended Support phase of its product lifecycle ...

Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 20 StundenViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 5 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit16 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Netzwerkprotokolle
Cisco IOS IPv6 Tunnel MTU Problem dauerhafte TLS-Handshakes
Frage von Windows10GegnerNetzwerkprotokolle13 Kommentare

Hallo, ich hatte habe das Problem ja schon lange, ich will das aber jetzt richtig angehen (MTU nicht manuell ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs12 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...