Multiple OpenVPN Verbindungen
Hallo zusammen,
ich habe mal eine Frage ob es dazu eine Lösung gibt. Ich habe aktuell einen Kunden der gerne zwecks Client Kosten auf OpenVPN umstellen möchte. Ich habe an jedem Standort eine PFSense 2.6.0 mit OpenVPN laufen und den dazugehörigen Server etc installiert. Klappt auch alles ohne Probleme. Nun komme ich zu meiner eigentlichen Frage. Es gibt User die aber per VPN auf 2 oder 3 Standorte zugreifen müssen. In den Firmen sind alle Standorte aktuell mit IPSEC Site-to-site Verbindungen verbunden, da haben sie kein Problem. Wenn sie nun unterwegs sind, wird es aktuell schwer, da ich nur eine Verbindung aufbauen kann. Gibt es da eventuell eine Möglichkeit?
Danke für eventuelle Tipps
P.S. Bevor nun gemeckert wird. Aktuell haben die alle noch ihre GreenBow Clients mit denen das geht. Es geht vor allem um zukünftige neue Leute. Das ganze wird gerade paralell dazu aufgebaut.
ich habe mal eine Frage ob es dazu eine Lösung gibt. Ich habe aktuell einen Kunden der gerne zwecks Client Kosten auf OpenVPN umstellen möchte. Ich habe an jedem Standort eine PFSense 2.6.0 mit OpenVPN laufen und den dazugehörigen Server etc installiert. Klappt auch alles ohne Probleme. Nun komme ich zu meiner eigentlichen Frage. Es gibt User die aber per VPN auf 2 oder 3 Standorte zugreifen müssen. In den Firmen sind alle Standorte aktuell mit IPSEC Site-to-site Verbindungen verbunden, da haben sie kein Problem. Wenn sie nun unterwegs sind, wird es aktuell schwer, da ich nur eine Verbindung aufbauen kann. Gibt es da eventuell eine Möglichkeit?
Danke für eventuelle Tipps
P.S. Bevor nun gemeckert wird. Aktuell haben die alle noch ihre GreenBow Clients mit denen das geht. Es geht vor allem um zukünftige neue Leute. Das ganze wird gerade paralell dazu aufgebaut.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2414126582
Url: https://administrator.de/forum/multiple-openvpn-verbindungen-2414126582.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
eigentlich sollte man alles durch eine VPN-Sitzung drücken: Also ein Routing aller via IPSec verbundenen Netze über eine VPN-Sitzung zum Client.
Alternativ kannst Du jeden Standort über einen anderen Port fahren und separat connecten.
Im Installationsumfang vom OpenVPN ist eine Batch o.Ä. enthalten, mit der Du die für mehrere gleichzeitige Sitzungen benötigten zusätzlichen Devices hinzufügen kannst.
Gruß,
Jörg
eigentlich sollte man alles durch eine VPN-Sitzung drücken: Also ein Routing aller via IPSec verbundenen Netze über eine VPN-Sitzung zum Client.
Alternativ kannst Du jeden Standort über einen anderen Port fahren und separat connecten.
Im Installationsumfang vom OpenVPN ist eine Batch o.Ä. enthalten, mit der Du die für mehrere gleichzeitige Sitzungen benötigten zusätzlichen Devices hinzufügen kannst.
Gruß,
Jörg
Also ein Routing aller via IPSec verbundenen Netze über eine VPN-Sitzung zum Client.
Der TO redet aber von OpenVPN und nicht von IPsec ?! Äpfel und Birnen... Nichtsdestotrotz ist das aber bei allen VPN Protokollen gleich: Eine Tunnelsession fackelt alle remoten IP Netze ab.
Welche das sind bestimmt man bei OpenVPN mit dem "push route..." Kommando.
Das Tutorial lesen hilft für die einfache Lösung mit OpenVPN:
Merkzettel: VPN Installation mit OpenVPN
Nebenbei sollte man nicht mehr auf OpenVPN setzen sondern wenn immer auf das modernere Wireguard setzen was aus Perfromance und Wartungssicht deutlich besser und schlanker ist.
der gerne zwecks Client Kosten auf OpenVPN umstellen möchte.
Etwas naives Argument bei IPsec VPNs was längst überholt ist !Jeder Netzwerk Admin weiss das es kostenlose VPN Clients gibt wie den allseits bekannten Klassiker Shrew Client:
https://www.shrew.net/download/vpn
Den sogar AVM für die FritzBoxen nutzt.
Noch effektiver ist es immer die Onboard VLAN Clients mit L2TP oder IKEv2 zu nutzen die alle Geräte immer von sich aus schon im Betriebssystem haben.
Das geht dann sogar mit einem 15 Euro Raspberry Pi als VPN Server:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Oder etwas gediegenere Hardware:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
https://www.portunity.de/access/wiki/L2TP_VPN-Tunnel(IPv4)_mit_OPNsense_ ...
Scheitern am IPsec VPN mit MikroTik
usw. usw.
Hallo,
Nein, das tut er nicht. Du hast die Frage - mal wieder - nur überflogen bzw. nicht verstanden.
Er redet davon, dass er mehrere Standorte via IPSec verbunden hat und sich jetzt per OpenVPN mit allen (via IPSec zusammengefassten) Netzen verbinden möchte.
Herrje…!
Übrigens gibt es gerade für Clients nichts Besseres als OpenVPN. Gerade, wenn man nicht weiß, wo der Client sitzt (China, Hotel, Messe, Mobilfunk usw. usf.)
Gruß,
Jörg
Nein, das tut er nicht. Du hast die Frage - mal wieder - nur überflogen bzw. nicht verstanden.
Er redet davon, dass er mehrere Standorte via IPSec verbunden hat und sich jetzt per OpenVPN mit allen (via IPSec zusammengefassten) Netzen verbinden möchte.
Herrje…!
Übrigens gibt es gerade für Clients nichts Besseres als OpenVPN. Gerade, wenn man nicht weiß, wo der Client sitzt (China, Hotel, Messe, Mobilfunk usw. usf.)
Gruß,
Jörg
OK, sorry da habe ich mich dann wohl geirrt mit dem was der TO wollte. Ich hatte mich auf die aussagekräftige Überschrift und die Beschreibung des TO's "Ich habe an jedem Standort eine PFSense 2.6.0 mit OpenVPN laufen" bezogen.
Funktionell ist da aber dennoch kein großer Unterschied.
Bei IPsec machen es die Phase 2 SAs und bei OpenVPN die push route... Kommandos.
Funktionell ist da aber dennoch kein großer Unterschied.
Bei IPsec machen es die Phase 2 SAs und bei OpenVPN die push route... Kommandos.
Hallo,
Das ist mir schon öfter aufgefallen...
Im Grunde genommen hat der TO zwei Aufgaben:
- etablieren der IPSec-Routen auf den pfSense Firewalls (wenn nicht schon geschehen)
- pushen der Route in den OpenVPN-Client
Auch wenn wir da wieder unterschiedlicher Meinung sind: Ich finde die Trennung der Techniken (IPSec für die Site2Site Verbindungen, OpenVPN für die Clients) gar nicht mal so schlecht.
IPSec ist zwar gerade auf iPhones wesentlich toller (gerade wegen der Dialing-Rules, dem DialOnDemand und der Möglichkeit, die komplette Konfiguration inkl. Zertifikate in eine Datei zu packen) - OpenVPN ist hier erfahrungsgemäß aber wesentlich robuster und hat weniger Ansprüche an die Infrastruktur, in der der Client ist. Stichwort DS-Lite usw.
Und ich behaupte mal, dass OpenVPN auch einfacher zu handhaben ist. Gerade wenn man Routen, DNS-Server usw. pusht, statische IP-Adressen konfigurieren will, die Clients bestmöglich isolieren will, Konfigurationsdateien zentral vorbereitet und und und...
Ich habe für ein Projekt mal pfSense (als OpenVPN Client) nach China geschickt um dort ganze Netze mit IP-Telefonen anzubinden. Hat wunderbar geklappt
Gruß,
Jörg
Das ist mir schon öfter aufgefallen...
Im Grunde genommen hat der TO zwei Aufgaben:
- etablieren der IPSec-Routen auf den pfSense Firewalls (wenn nicht schon geschehen)
- pushen der Route in den OpenVPN-Client
Auch wenn wir da wieder unterschiedlicher Meinung sind: Ich finde die Trennung der Techniken (IPSec für die Site2Site Verbindungen, OpenVPN für die Clients) gar nicht mal so schlecht.
IPSec ist zwar gerade auf iPhones wesentlich toller (gerade wegen der Dialing-Rules, dem DialOnDemand und der Möglichkeit, die komplette Konfiguration inkl. Zertifikate in eine Datei zu packen) - OpenVPN ist hier erfahrungsgemäß aber wesentlich robuster und hat weniger Ansprüche an die Infrastruktur, in der der Client ist. Stichwort DS-Lite usw.
Und ich behaupte mal, dass OpenVPN auch einfacher zu handhaben ist. Gerade wenn man Routen, DNS-Server usw. pusht, statische IP-Adressen konfigurieren will, die Clients bestmöglich isolieren will, Konfigurationsdateien zentral vorbereitet und und und...
Ich habe für ein Projekt mal pfSense (als OpenVPN Client) nach China geschickt um dort ganze Netze mit IP-Telefonen anzubinden. Hat wunderbar geklappt
Gruß,
Jörg
Also ich habe die frage so verstanden... das der TO möchte das einige Clients Ihr VPN gleichzeitig zu allen drei Standorten aufbaut. Und ja die Standorte sind bereits per Ipsec Verbunden, und deshalb ist aktuell das arbeiten an einem beliebigen Standort möglich. Aber egal es geht Beides...
wie @117471 bereits geschrieben hat kann man in OpenVPN mehrere Interfaces erzeugen. Denn jede Verbindung braucht ein eigenes Interface. Eine Zuordnung kann man machen ist nicht ganz so wichtig, geht auch mit automatischer auswahl hauptsache genügend vorhanden. Als Tipp vielleicht noch: Ich habe für meine User die Verbindung als Dienst laufen so das keine User interaktion erforderlich ist. (Habe sogar die GUI entfernt)
Alternativ könnte man es auch bei einer Verbindung belassen und alle Netze als Route mitgeben und dann entsprechende Regeln erzeugen so das wieder alle Netze erreichbar sind, halt nur über einen Standort. Kommt halt auch ein wenig auf das gesamt konstrukt und leitungskapazitäten an.
wie @117471 bereits geschrieben hat kann man in OpenVPN mehrere Interfaces erzeugen. Denn jede Verbindung braucht ein eigenes Interface. Eine Zuordnung kann man machen ist nicht ganz so wichtig, geht auch mit automatischer auswahl hauptsache genügend vorhanden. Als Tipp vielleicht noch: Ich habe für meine User die Verbindung als Dienst laufen so das keine User interaktion erforderlich ist. (Habe sogar die GUI entfernt)
Alternativ könnte man es auch bei einer Verbindung belassen und alle Netze als Route mitgeben und dann entsprechende Regeln erzeugen so das wieder alle Netze erreichbar sind, halt nur über einen Standort. Kommt halt auch ein wenig auf das gesamt konstrukt und leitungskapazitäten an.
Es wäre ja aber ziemlich überflüssiger Unsinn zu Sites die so oder so schon per VPN Tunnel verbunden sind noch einmal von Clients separate VPN Tunnel zu etablieren. Zu was sollte sowas gut sein ?
Aber das Rätsel kann wohl nur der TO lösen... Feedback von ihm zum Thema ist ja leider noch Null.
Nebenbei:
Es gibt diverse Threds hier im Forum die eine gemischte VPN Infrastruktur mit IPsec und OpenVPN beschreiben:
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
PFSense mit Fritzboxen verbinden
Aber das Rätsel kann wohl nur der TO lösen... Feedback von ihm zum Thema ist ja leider noch Null.
Nebenbei:
Es gibt diverse Threds hier im Forum die eine gemischte VPN Infrastruktur mit IPsec und OpenVPN beschreiben:
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PfSense IPsec hub and spoke
PFSense mit Fritzboxen verbinden
wie ich das bei der PFSense einstellen muss mit dem Routing zwischen den Netzen, damit ich nur eine OpenVPN Client VErbindung aufbauen muss
Das ist recht einfach und schnell gemacht. Sieh dir einmal die geposteten Threads an dort findest du Beispiele.Ansonsten hier mal dein IPsec Phase 2 Setup posten und deine OpenVPN Config Datei vom Server.
Wenn ich bei der Server Config nun die drei anderen Netze hinzufüge mit push
Das kann eigentlich nicht sein. Die Push Route Kommandos haben nichts mit der VPB Client Connectivität an sich zu tun sondern pushen beim Tunnelaufbau des Clients diese Routen in die Client Routing Tabelle. Sie können per se die Connectivity nicht beeinflussen.Du kannst diese "gepushten" Routen dann auch am Client bei aktiver Tunnelverbindung in dessen Routing Tabelle sehen. Bei Windows macht das das Kommando route print in der Eingabeaufforderung.
Sehr hilfreich wäre das OpenVPN Log des Clients wenn dieser Verbindungsfehler auftritt !!
Generell ist das immer die erste Anlaufstelle für Troubleshooting.
Weitere hilfreiche Hinweise zum OpenVPN Setup liefert dir immer das hiesige OpenVPN Tutorial.
Bedenke auch das in einem gemischten VPN Setup wie bei dir mit OpenVPN und IPsec die OpenVPN Seite nur die eine Hälfte ist. Du musst ggf. auch das P2 Setting im VPN anpassen sofern noch nicht geschehen und alle deine IP Netze dort noch nicht eingtragen sind.
Eine kleine Skizze zur IP Adressierung deiner Netze wäre hier auch sehr hilfreich.
Letztlich stellt sich generell die Frage warum du so einen "VPN Mischmasch" überhaupt machst, denn mit deiner Firewall wäre das gar nicht nötig.
Die pfSense supportet zur Site-to-Site Kopplung parallel immer auch ein Dialin für ALLE bordeigenen VPN Clients:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das würde deine VPN Konfig an sich und besonders den Management Aufwand und die Pflege der VPN Clients deutlich vereinfachen !