Neustrukturierung Testnetz - Schwenk auf pfSense - Strategie?

Mitglied: altmetaller

altmetaller (Level 4) - Jetzt verbinden

26.02.2016, aktualisiert 18:29 Uhr, 1212 Aufrufe, 10 Kommentare

Ich beschäftige mich gerade ein bisschen mit pfSense Firewalls und Netzwerktechnik und möchte mein Testnetz neu organisieren.

Dieses besteht aus drei Subnetzen:
  • 10.10.10.0/24 "Netz Horn": Das ist mein Standort bei uns im Serverraum. Hier habe ich eine physikalische pfSense an einer öffentlichen IP-Adresse.
  • 10.10.20.0/24 "Netz Farge": Dies ist mein Standort zu Hause. Hier hänge ich mit einer physikalischen pfSense an der Fritz!Box. Die Fritz!Box wird auch vom Rest der Familie genutzt.
  • 10.10.30.0/24 "Netz Gamma": Das ist der Hyper-V eines Kollegen. Hier hänge ich mit einer virtualisierten VM an seinem Router.

In jedem Netz befindet sich neben der pfSense mindestens ein DomainController. Wesentliches Ziel ist, dass sich alle Server gegenseitig erreichen können.



Überlegung a):

Ich betreibe die pfSense in Horn als OpenVPN-Server und wähle die beiden anderen Netze als OpenVPN-Client ein. Das würde ungefähr so aussehen (blaue Verbindung = OpenVPN):

dceb4c0d21b4846b5ebdbde3500460f1 - Klicke auf das Bild, um es zu vergrößern

Dazu aber auch gleich zwei Fragen:
  • Können die beiden via OpenVPN angebundenen Netze ohne Weiteres miteinander sprechen?
  • Gebe ich auf dem OpenVPN-Server in Horn .10.0/24 oder das "Supernetz" .16.0/20 als lokales Netz an?



Überlegung b):

Ich betreibe die beiden pfSense in Horn und Farge als OpenVPN-Server und verbinde diese via IPSec. Die virtuelle pfSense im Netz Gamma verbindet sich mit jedem Netz separat als OpenVPN-Client. Das würde ungefähr so aussehen (blaue Verbindung = OpenVPN, rote Verbindung = IPSec):

bb8b51d541a2f4bfabda500ce84a7731 - Klicke auf das Bild, um es zu vergrößern



Eure Meinung dazu?
Mitglied: aqui
LÖSUNG 26.02.2016, aktualisiert um 18:29 Uhr
Zu Überlegung a.)
Client soll sicher heissen einen OVPN Lan zu LAN Kopplung, richtig ?
Können die beiden via OpenVPN angebundenen Netze ohne Weiteres miteinander sprechen?
Klares ja, das ist ja gerade der Sinn einer OVPN LAN zu LAN Kopplung oder einer LAN zu LAN Kopplung im allgemeinen völlig unabhängig vom verwendeten VPN Protokoll.
Gebe ich auf dem OpenVPN-Server in Horn .10.0/24 oder das "Supernetz" .16.0/20 als lokales Netz an?
Wie kommst du auf den /16 Prefix ?? Du arbeitest doch nur mit /24 also bleibt es auch dabei !! Die anderen IP Netze werden ja in Horn automatisch announced.
Horn kennt also das .20.0er Netz und das .30.0er Netz....alles gut also. Any zu any willst du ja nicht oder soll auch Farge direkt mit Dominion ?

Zu Überlegung b.)
Ich betreibe die beiden pfSense in Horn und Farge als OpenVPN-Server und verbinde diese via IPSec.
Uuuhhhh jetzt wirds aber sehr gruselig !!
Warum 2 VPN Verfahren ? Was sollte da der tiefere Sinn sein. Sowas geht meist in die Hose. Vergiss diesen Blödsinn schnell.
Entweder IPsec oder OVPN...bleibe bei einem Verfahren und kein Mixmax !
Horn kannst du also entweder mit OVPN mit Farge und Dominoin koppeln oder du machst das mit IPsec. Bitte nicht mischen !
Bitte warten ..
Mitglied: altmetaller
26.02.2016, aktualisiert um 18:31 Uhr
Ja, mit Client meine ich eine Netz-zu-Netz-Kopplung auf OpenVPN-Basis. Da gibt es ja auch den Server- und den Client-Tab in der GUI.

Farge sollte schon mit Dominion sprechen. Sehen sich die beiden Netze Farge und Gamma denn im Beispiel a)? Muss ich dafür noch eine Route auf pfHorn definieren oder reicht es aus, wenn dort die beide Netze im OpenVPN-Server via Komma getrennt gleichzeitig als "Remote Network" angegeben werden?

Oder muss ich da zwei Server konfigurieren (z.B. einen auf Port 1194, einen auf 1195) und die irgendwie verbinden?

Zu der Überlegung mit dem /20 Netz hat mich dieser Artikel verführt: http://ipcop.gutzeit.ch/2006/02/18/tunnels-are-cheap.htm

Wie gesagt: Ich plane erst einmal. Ausfallsicherheit spielt keine Rolle. Ich hätte es lieber einfach und überschaubar. Also alles via GUI, ohne großartige Tricksereien in den Konfigurationsdateien.
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.02.2016, aktualisiert um 21:04 Uhr
Sehen sich die beiden Netze Farge und Gamma denn im Beispiel a)?
Nur wenn du entsprechnede Routen mitgibst, dann können die via "Horn" ja routen. Ungünstig, da sämtlicher Traffic dieser beiden dann via Horn müsste. Bei wenig Traffic ist das OK ansonden ist immer ein zusätzlicher VPN Peer zw. diesen beiden sinnvoller.
Guckst du hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Also alles via GUI, ohne großartige Tricksereien in den Konfigurationsdateien.
Dann lasse auf jeden Fall den Mix mit 2 VPN Protokollen !
Was Ecki und seine Tricksereien anbetrifft mit der Subnetzmaske ist das nur die halbe Miete auch wenn er durch den kleineren Prefix diese Pakete in den Tunnel bekommt routet B diese noch lange nicht weiter an C. Zusätzlich hat er inkonsistente Subnetzmasken...ein NoGo !
Das Design von ihm kann man besser mit statischen Routen lösen oder nich einfacher indem man ein dynamische Routing Protokoll wie RIPv2 oder OSPF aktiviert, dann geht das automatisch.
Oder eben 2 Tunnel wie er selber schreibt...
Bitte warten ..
Mitglied: altmetaller
26.02.2016 um 21:02 Uhr
Ich denke, ich lasse das auch mit dem Routing von Farge nach Gamma.

Wäre nur schön gewesen, da Farge die FSMO Rollen hat und letztendlich jeder DC mit denen sprechen sollte - aber die schiebe ich dann wohl lieber in die Mitte. Zumal da der einzige echte Server steht :-) face-smile

Mal angenommen, ich möchte von Farge aus per RDP zu Dominion - kann ich das nicht theoretisch auch mit einem Portforwarding pfHorn lösen? Oder wäre das auch wieder "Pfusch"? :-( face-sad
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.02.2016, aktualisiert 02.03.2016
Ich denke, ich lasse das auch mit dem Routing von Farge nach Gamma.
Warum ?? Musst du nicht, das ist doch ganz einfach zu erledigen !! Sieh dir den Praxislink oben an !
kann ich das nicht theoretisch auch mit einem Portforwarding pfHorn lösen?
Nun wirds wieder gruselig bei dir.....! Lass sowas besser.
Die Lösung ist doch kinderleicht:
  • Tunnel von Horn nach Farge
  • Tunnel von Horn nach Gamma
  • Tunnel von Gamma nach Frage
  • Fertig ist der Lack !!
Warum umständlich machen wenn es einfach auch geht...? :-) face-smile
Bitte warten ..
Mitglied: altmetaller
29.02.2016, aktualisiert um 14:24 Uhr
Sodele - ich bin inzwischen soweit, dass ich mit den Clients abwechselnd draufkomme.

Kryptografisch sind die via "shared Key" verbunden - aber Gottes nur abwechselnd. In den Servereinstellungen habe ich bereits die "Concurrent connections" auf 2 hochgesetzt, was aber keine Abhilfe geschaffen hat.

Kann ich via "shared Key" überhaupt zwei Clients via Netz-zu-Netz anbinden?

Wo könnte noch eine konkurriende Option sitzen, mit der ich den Ausschluss steuern bzw. verhindern kann?

Oder würde es in dem Fall eher Sinn machen, zwei VPN-Server aufzusetzen (z.B. einen auf Port 1194, einen auf Port 1195)
Bitte warten ..
Mitglied: aqui
LÖSUNG 29.02.2016, aktualisiert 02.03.2016
Kann ich via "shared Key" überhaupt zwei Clients via Netz-zu-Netz anbinden?
Nein !
Oder würde es in dem Fall eher Sinn machen, zwei VPN-Server aufzusetzen
Du musst zwingend eine LAN to LAN Verbindung realisieren bei OVPN.
Bitte warten ..
Mitglied: altmetaller
02.03.2016 um 22:54 Uhr
@aqui

Ich möchte mich auch an dieser Stelle noch einmal ganz herzlich für deine Unterstützung - auch per PM - bedanken.

Auch wenn Du dich manchmal vielleicht als "Dampfventil" gefühlt hast - an deiner Stelle hätte ich mich schon längst an die Wand genagelt. Dass Du nicht die Geduld verloren hast, rechne ich Dir sehr hoch an^^ :-) face-smile
Bitte warten ..
Mitglied: aqui
04.03.2016 um 09:58 Uhr
Danke für die Blumen... :-) face-smile
Hast du denn nun alles soweit zum Fliegen bekommen ??
Bitte warten ..
Mitglied: altmetaller
04.03.2016 um 10:08 Uhr
"Eigentlich ja" :-) face-smile

Ich habe mich für meine erste Idee entschieden und:
a) auf pfHorn den OpenVPN-Server installiert
b) auf pfFarge und pfGamma den OpenVPN-Client installiert

An die CN von den Zertifikaten (von pfFarge und pfGamma) pushe ich via CCD eine statische IP-Adresse (im Transporttunnel), die jeweilige iroute und an pfGamma zusätzlich noch das VPN als "Default-Gateway für Alles".

Scheint zu funktionieren - auch mit dem Routing zwischen pfFarge und pfGamma :-) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic19 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1045 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)12 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server8 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming11 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 23 StundenFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

SAN, NAS, DAS
Synology DS213j - Volume nach HDD Austausch vergrößern
gelöst JasperBeardleyVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Moin, ich hab meinem NAS zwei neue 8TB spendiert, da die 3TB Platten jetzt 6 Jahre alt sind. Da die beiden Platten im JBOD ...