4
OpenVPN Server multi site2site?
Nabend zusammen,
ich habe gerade einen Knoten im Gedankengang.
Ist:
Server-1
Server-2
Standort1
Mobile Clients
*Dyn IPs
Soll:
Alle Privaten Netzwerke sollen untereinander erreichbar sein über die VPN Tunnel.
Ich wollte den VPN Server auf Srv1 installieren und dessen Netzwerk auf die Clients pushen. Und den jeweiligen Routern statische Routen verpassen. Dazu noch per conf die jeweiligen client Netzwerke bekannt machen. Dazu noch client2client aktivieren und war/bin der Meinung das müsste laufen.
Ein befreundeter Admin hat jetzt gemeint ich soll lieber 2 VPN Server aufsetzten auf jedem Server einen und die mobile Clients an srv2 und den Standort an Srv 1 anbinden und die Server gegenseitig als client.
Auf die Frage warum wollte konnte er mir auf die schnelle keine Antwort finden. Für mich ergibt sich daraus keine bessere Situation.
HA ist nicht gefordert.
Jetzt sitze ich hier und grübel ob man es echt besser machen kann oder er mich auf den arm nehmen will da ich das noch nicht so oft gemacht habe.
PS: Alles meine Server & Netzwerke incl. voll Zugriff auf alles deshalb mehr SOHO als Enterprise.
Eventuell kann mich hier ja jemand erleuchten was den die bessere wahl wäre.
Danke & einen schönen Start ins Wochenende
ich habe gerade einen Knoten im Gedankengang.
Ist:
Server-1
- public IP 188.xxx.xxx.xxx/32
- +ipv6 /64
- Server Netzwerk 172.17.xxx.xxx/24
- steht im RZ1
- hosted auch den DNS Server welcher auch im VPN die domain auflösen soll
- Gigabit Anbindung
Server-2
- public IP 142.xxx.xxx.xxx/32
- ipv6 nicht möglich
- Server Netzwerk 172.18.xxx.xxx/24
- steht im RZ2
- Gigabit Anbindung
Standort1
- Dyn IP
- Netzwerk 172.19.xxx.xxx/24
- +Netzwerk 172.20.xxxx.xxx/24
- DSL 16
Mobile Clients
*Dyn IPs
Soll:
Alle Privaten Netzwerke sollen untereinander erreichbar sein über die VPN Tunnel.
Ich wollte den VPN Server auf Srv1 installieren und dessen Netzwerk auf die Clients pushen. Und den jeweiligen Routern statische Routen verpassen. Dazu noch per conf die jeweiligen client Netzwerke bekannt machen. Dazu noch client2client aktivieren und war/bin der Meinung das müsste laufen.
Ein befreundeter Admin hat jetzt gemeint ich soll lieber 2 VPN Server aufsetzten auf jedem Server einen und die mobile Clients an srv2 und den Standort an Srv 1 anbinden und die Server gegenseitig als client.
Auf die Frage warum wollte konnte er mir auf die schnelle keine Antwort finden. Für mich ergibt sich daraus keine bessere Situation.
HA ist nicht gefordert.
Jetzt sitze ich hier und grübel ob man es echt besser machen kann oder er mich auf den arm nehmen will da ich das noch nicht so oft gemacht habe.
PS: Alles meine Server & Netzwerke incl. voll Zugriff auf alles deshalb mehr SOHO als Enterprise.
Eventuell kann mich hier ja jemand erleuchten was den die bessere wahl wäre.
Danke & einen schönen Start ins Wochenende
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372456
Url: https://administrator.de/contentid/372456
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Server Netzwerk 172.17.xxx.xxx/24
Die Angabe ist ja bei einem 24 Bit Prefix etwas unsinnig bzw. erzeugt einen falschen Adress Eindruck.Die ersten 3 Bytes bezeichnen das Netzwerk. Sinnig wäre dann also 172.16.123.xxx /24
Vergiss das was der "befreundete Admin" gesagt hat und mach es so wie du es planst, das ist der richtige Weg ! Das er seinen "Rat" noch nicht einmal begründen konnte sagt ja schon alles.
Hallo,
#
Clients brauchen keine bekannte IP !
ist am einfachsten: ein RW Einwahlpunkt (Bandbreite) und der Rest routen
Netze über n-2-n Tunnel verbinden (routen)
client-2-client bringt nicht wirklich was, es sei denn die Clients müssen untereinander Daten tauschen (einfacheres Routing)
Fred
ps: man kann auch bei jedem Server zusätzlich zur N-2-N auch noch einen RW-Zugang machen ...für Fehlerfälle manchmal ganz nützlich - es verkompliziert aber das Routing heftigst
#
Clients brauchen keine bekannte IP !
ist am einfachsten: ein RW Einwahlpunkt (Bandbreite) und der Rest routen
Netze über n-2-n Tunnel verbinden (routen)
client-2-client bringt nicht wirklich was, es sei denn die Clients müssen untereinander Daten tauschen (einfacheres Routing)
Fred
ps: man kann auch bei jedem Server zusätzlich zur N-2-N auch noch einen RW-Zugang machen ...für Fehlerfälle manchmal ganz nützlich - es verkompliziert aber das Routing heftigst
Zitat von @aqui:
Die ersten 3 Bytes bezeichnen das Netzwerk. Sinnig wäre dann also 172.16.123.xxx /24
Server Netzwerk 172.17.xxx.xxx/24
Die Angabe ist ja bei einem 24 Bit Prefix etwas unsinnig bzw. erzeugt einen falschen Adress Eindruck.Die ersten 3 Bytes bezeichnen das Netzwerk. Sinnig wäre dann also 172.16.123.xxx /24
Das ist natürlich richtig und sollte nur darstellen das mir bewusst ist, die lokalen Netze alle in unterschiedliche Adressbereiche zu packen. Damit es überhaupt mit routen funktionieren kann, ohne NAT nutzen zu müssen.
Vergiss das was der "befreundete Admin" gesagt hat und mach es so wie du es planst, das ist der richtige Weg ! Das er seinen "Rat" noch nicht einmal begründen konnte sagt ja schon alles.
Vielen dank für deine Bestätigung dann gehe ich das alles mal heute Abend an
Grüße
Das ist mir bewusst, wollte nur die Infos vollständig halten, falls jemandem in der Konstellation eine viel bessere/sinnvollere Art der Implementierung eingefallen wäre
Genau das ist wie im Eingangsthread erwähnt die Grundvoraussetzung alles muss mit allem reden können erstmal. Der VPN Gateway Client im Standort 1 ist eh per firewall dann nochmals fein granuliert welcher Client(im Netzwerk) wohin darf und welcher nicht.
Fred
ps: man kann auch bei jedem Server zusätzlich zur N-2-N auch noch einen RW-Zugang machen ...für Fehlerfälle manchmal ganz nützlich - es verkompliziert aber das Routing heftigst
Na dann ist mir der weg übers einfache Routing natürlich lieber
Für den Fehlerfall läuft noch ein seperates Administratives VPN (andere Software) vice versa zwischen den Servern für Backupzwecke und nochmals seperate Netzwerke auf den Hosts welche etliche VMs/Docker Instanzen vorhalten.
Die einzelnen Interfaces sind auch per iptables seperat geschützt.
Auch dir ein Dankeschön & Grüße
ist am einfachsten: ein RW Einwahlpunkt (Bandbreite) und der Rest routen
Netze über n-2-n Tunnel verbinden (routen)
client-2-client bringt nicht wirklich was, es sei denn die Clients müssen untereinander Daten tauschen (einfacheres Routing)
Netze über n-2-n Tunnel verbinden (routen)
client-2-client bringt nicht wirklich was, es sei denn die Clients müssen untereinander Daten tauschen (einfacheres Routing)
Genau das ist wie im Eingangsthread erwähnt die Grundvoraussetzung alles muss mit allem reden können erstmal. Der VPN Gateway Client im Standort 1 ist eh per firewall dann nochmals fein granuliert welcher Client(im Netzwerk) wohin darf und welcher nicht.
Fred
ps: man kann auch bei jedem Server zusätzlich zur N-2-N auch noch einen RW-Zugang machen ...für Fehlerfälle manchmal ganz nützlich - es verkompliziert aber das Routing heftigst
Na dann ist mir der weg übers einfache Routing natürlich lieber
Für den Fehlerfall läuft noch ein seperates Administratives VPN (andere Software) vice versa zwischen den Servern für Backupzwecke und nochmals seperate Netzwerke auf den Hosts welche etliche VMs/Docker Instanzen vorhalten.
Die einzelnen Interfaces sind auch per iptables seperat geschützt.
Auch dir ein Dankeschön & Grüße
