zeroblue2005
Goto Top

Netz zu Netz VPN mit Open-VPN auf anderen Port?

Hallo Zusammen,

ich möchte gerne zwei Standorte mit einander vernetzen über VPN. Beide Standorte verfügen über eine VDSL 100 Leitung und sind via Dyn-DNS erreichbar. Auf Grund der tatsache, dass in beiden Netzwerkes ein Routing und RAS Server für L2TP mit IPSEC fungiert, kann ich nicht die Fritz!Box für eine Netz zu Netz benutzen, da ja bekanntlich bei eineschaltener IPSEC VPN der FB, dies für sich beansprucht und dann die Routing und RAS Server lahm gelegt werden.

Welche Allternativen kommen jetzt noch für eine Netz zu Netz VPN in Frage? PPTP auf keinen Fall ist klar...

Open-VPN auf einem anderen Port, als 443, da dieser für Eschange reserviert ist.?

Jetzt habe ich mich mit dem Thema noch nicht allzu viel aueindergesetzt. Deshalb die Frage, wie bekommen ich das am schnellsten hin, das alle Cliets aus Lan 1 die Cliets in Lan 2 und umgekehrt ereichen können?

Ich möchte keine neu Hardware einsetzen oder große umbauarbeiten vornehmen. Bin auch bereit das Ganze über zwei Linux basierte VMs als Router laufen zu lassen.Was haltet ihr für die beste Lösung auf der Basis VPN Netz zu Netz ohne große umbauarbeiten und neuen Hardwareeinsatz?

Danke?

Content-Key: 344258

Url: https://administrator.de/contentid/344258

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: AMD9558
AMD9558 24.07.2017 um 09:55:40 Uhr
Goto Top
Hi,

mit OpenVPN hast du eine gute Wahl getroffen.

Hier eine Anleitung, in welcher Beschrieben wird, wie du beide Standorte (Site to Site VPN) miteinander vernetzen kannst.

Viele Grüße und viel Erfolg

Yannik
Mitglied: zeroblue2005
zeroblue2005 24.07.2017 um 10:08:03 Uhr
Goto Top
Hallo Yannik,

danke das war es was ich gesucht habe. Ich werde das ganze jetzt mal auf einem ESXI Testen mit zwei Netzen. Wie gesagt, bin jetzt nicht der Linux Spezi. Ich muss mich erst mal mit Debian und Open VPn auseindersetzen, wie ich Open-VPN auf Debian installiere und die Zertifikate installiere usw.
Mitglied: zeroblue2005
zeroblue2005 24.07.2017 um 17:44:54 Uhr
Goto Top
Hallo Yannik,

ich habe mir jetzt erst mal eine Testumgebung geschaffen auf einem ESXI mit:

2 x Virtuellen Switch
2 x IP-Cop als Router
2 x LinuxMint als open VPN Server

Das nur zur Info, das läuft auch und Routet fleissig!

Habe dann mal aus Spass erst mal einen Client zu Server Verbindung ausprobiert, läuft, das als mit einem Windows-Client. Sinn war es für mich erst mal dahinterzusteigen wie das ganze funktioniert!

Jetzt habe ich deinen Link vor Augen mit der Konfig Site to Site. Dazu habe ich aber noch ein paar Fragen!

Vorab, ja ich weiß der IP-Cop kann auch von Haus aus Open-VPN, jedoch leider kein Site to Site. Die Anpassungen in der Firewall sind mir zu knifflig, die ich gefunden habe. Würde das lieber über zwei extra Linux VM (Mint) laufen lassen!

Nun zu meinen Fragen:

diesen Abschnitt kann ich doch vernachlässigen oder habe das direkt in der GUI gemacht!

iptables -A INPUT -i ppp0 -p udp --dport 8001 -j ACCEPT
iptables -A INPUT -p ICMP -s 10.0.0.2 -j ACCEPT
iptables FORWARD -i tun1 -s 10.0.0.2 -d 192.168.1.0/24 -j ACCEPT

Was enable Routing angeht, bin ich mir jetzt nicht sicher, muss ich dass machen oder nicht auf dem IP-Cop und wenn via SSH?
echo 1 > /proc/sys/net/ipv4/ip_forward

Die Config Site A+B müssen doch in der openvpn.conf gemacht werden oder? Kann ich da alles rauslöschen und das mit einigen Anpassungen so übernehmen?

remote het-b.zeldor.biz
float
port 8001
dev tun
ifconfig 10.0.0.1 10.0.0.2
persist-tun
persist-local-ip
persist-remote-ip
comp-lzo
ping 15
secret /etc/openvpn/vpn.key
route 192.168.2.0 255.255.255.0
chroot /tmp/openvpn
user nobody
group nogroup
log-append /var/log/openvpn/vpn.log
verb 1

Ich denke, wenn ich die Fragen geklärt habe kann ich loslegen face-smile

Danke
Mitglied: AMD9558
Lösung AMD9558 24.07.2017 um 19:25:42 Uhr
Goto Top
Zitat von @zeroblue2005:

Hallo Yannik,

Hi,
ich habe mir jetzt erst mal eine Testumgebung geschaffen auf einem ESXI mit:

2 x Virtuellen Switch
2 x IP-Cop als Router
2 x LinuxMint als open VPN Server

Das nur zur Info, das läuft auch und Routet fleissig!

Das klingt doch Super!
Habe dann mal aus Spass erst mal einen Client zu Server Verbindung ausprobiert, läuft, das als mit einem Windows-Client. Sinn war es für mich erst mal dahinterzusteigen wie das ganze funktioniert!

Jetzt habe ich deinen Link vor Augen mit der Konfig Site to Site. Dazu habe ich aber noch ein paar Fragen!

Vorab, ja ich weiß der IP-Cop kann auch von Haus aus Open-VPN, jedoch leider kein Site to Site. Die Anpassungen in der Firewall sind mir zu knifflig, die ich gefunden habe. Würde das lieber über zwei extra Linux VM (Mint) laufen lassen!

Nun zu meinen Fragen:

diesen Abschnitt kann ich doch vernachlässigen oder habe das direkt in der GUI gemacht!

iptables -A INPUT -i ppp0 -p udp --dport 8001 -j ACCEPT
> iptables -A INPUT -p ICMP -s 10.0.0.2 -j ACCEPT
> iptables FORWARD -i tun1 -s 10.0.0.2 -d 192.168.1.0/24 -j ACCEPT

Zugegeben habe ich einen Site to Site VPN Server noch nicht konfiguriert. Geschätzt musst du der Firewall sagen, dass die jeweiligen Subnetze einmal untereinander geroutet werden, aber auch die ICMP (z.B. Ping) Pakete akzeptiert und nicht geblockt werden.
Was enable Routing angeht, bin ich mir jetzt nicht sicher, muss ich dass machen oder nicht auf dem IP-Cop und wenn via SSH?
echo 1 > /proc/sys/net/ipv4/ip_forward

Da du in ein anderes Subnetz routest, musst du die Routing funktion aktiviert werden.
Die Config Site A+B müssen doch in der openvpn.conf gemacht werden oder? Kann ich da alles rauslöschen und das mit einigen Anpassungen so übernehmen?

> remote het-b.zeldor.biz
> float
> port 8001
Den Port kannst du nach deinen Wünschen anpassen. Pass aber auf, dass du keinen Standardport von einem Dienst, wie zum Beispiel HTTP (Port 80) verwendest.
> dev tun
> ifconfig 10.0.0.1 10.0.0.2
> persist-tun
> persist-local-ip
> persist-remote-ip
> comp-lzo
> ping 15
> secret /etc/openvpn/vpn.key
> route 192.168.2.0 255.255.255.0
> chroot /tmp/openvpn
> user nobody
> group nogroup
> log-append /var/log/openvpn/vpn.log
> verb 1

Ansonsten solltest du die einzelnen Subnetze noch an deine Subnetze anpassen.
Ich denke, wenn ich die Fragen geklärt habe kann ich loslegen face-smile

Ich hoffe ich konnte deine Fragen beantworten face-smile
Danke
Gerne. Schönen Abend noch und viel Erfolg bei der Konfiguration

Yannik
Mitglied: zeroblue2005
zeroblue2005 27.07.2017 um 10:30:11 Uhr
Goto Top
Hallo Zusammen,

ich habe das ganze jetzt anders gelöst:

Ich habe einfach die beiden IP-Cops die als Router fungieren, das ganze mit dem OPEN-VPN machen lassen. Diese können zwar von Haus aus nur eine HOST to Netz Verbindung, aber wenn man mit zwei Open-VPN Server laufen lässt und sich einmal von links nach rechts und dann von rechts nach links einwählt. Klappt das ganz gut! Man muss nur auf unterschiedliche Ports achten!