pipen1976
Goto Top

PfSense Site to Side Verbindung vorab konfigurieren und testen

Hallo, wir bekommen einen 2. Standort. Beide Standorte sollten mit OpenVPN verbunden werden. An Standort 1 ist bereits eine pfSense Appliance im Einsatz und für den neuen Standort ist auch eine vorgesehen. Am neuen Standort ist noch kein DSL Anschluß vorhanden und das kann auch noch dauern. Die Hardware dafür habe ich schon. Jetzt würde ich gerne die Site to Side Verbindung schon vorab konfigurieren und testen. Komme aber nicht wirklich darauf wie ich das anstellen soll dieses Szenario nachzustellen. Hat jemand für mich einen Tipp? Ich dachte schon an einen LTE Router?

Gruß Christian

Content-ID: 566635

Url: https://administrator.de/contentid/566635

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

aqui
Lösung aqui 22.04.2020 aktualisiert um 10:29:27 Uhr
Goto Top
Haben beide Standorte dynamisch wechselnde IP Adressen oder hat einer eine feste IP ?? Das wäre noch wichtig zu wissen.
Ebenso warum OpenVPN ? IPsec mit IKEv2 und Pre Shared Keys wäre etwas einfacher weil die Zertifikatserstellung entfällt und man auch schon gleich die Blaupause für mobile_Benutzer angelegt hat.

So oder so ist ein Test aber kinderleicht.
Wenn du beide pfSense Firewalls schon hast (das du es damit realisieren willst raten wir mal frei aus der Threadüberschrift ?!?) kannst du die im einfachsten Falle...
  • Back to Back auf dem WAN Port zusammenstecken mit einem simplen Patchkabel. Dann
  • konfigurierst du die lokalen LANs ganz genau so wie sie in der Realität aussehen am Haupt und Zweitstandort
  • Konfigurierst deine VPN Verbindung mit welchem Protokoll auch immer
  • Steckst je einen Testrechner in die lokalen LANs und pingst und testest drauf los
  • Fertisch
Wenn der DSL Anschluss nachher liegt musst du nur die WAN Verbindung auf die entsprechenden IP Adressen ändern und kannst die Firewalls sofort in Betrieb nehmen und gut iss.

Oder ist eine Firewall (Haupt Standort) schon aktuell im Betrieb ??
Auch das wäre kein Problem.
Dann verbindest du den WAN Port der Standort Firewall z.B. mit einem Smartphone im Tethering Mode und hängst es so ans Internet. Rest dann wie oben beschrieben...
Oder du nimmst die Firewall mit nach Hause und testest es von dort. Du musst ja einzig und allein dann nur einen separaten Internet Zugang mit der Test Firewall realisieren sofern eine schon fest in Benutzung ist.
Leider ist dazu deine Beschreinung oben recht oberflächlich. face-sad
Alles in allem aber kein Hexenwerk und in einer halben Stunde erledigt !
pipen1976
pipen1976 22.04.2020 um 10:35:03 Uhr
Goto Top
Beide Standorte haben feste IP Adressen. Die pfSense an Standort 1 ist halt schon produktiv, da kann ich leider nicht einfach so zusammenstecken.
Allerdings habe ich 2 Stück pfSense Appliance hier liegen. Ich könnte eigentlich vorab die beiden zum testen verwenden und zusammenstecken. Zu kompliziert gedacht. Vielen Dank.


Zitat von @aqui:

Wenn du beide pfSense Firewalls schon hast (das du es damit realisieren willst raten wir mal frei aus der Threadüberschift ?!?)

Habe ich doch dazu geschriebenface-smile An Standort 1 ist bereits eine pfSense Appliance im Einsatz und für den neuen Standort ist auch eine vorgesehen. Die Hardware dafür habe ich schon.
aqui
Lösung aqui 22.04.2020 aktualisiert um 10:56:16 Uhr
Goto Top
Beide Standorte haben feste IP Adressen.
Das ist perfekt für ein VPN ! face-smile
Die pfSense an Standort 1 ist halt schon produktiv, da kann ich leider nicht einfach so zusammenstecken.
Das hattest du leider in deiner Eingangs Beschreibung nicht erwähnt und uns so zum Raten gezwungen...aber egal.
Allerdings habe ich 2 Stück pfSense Appliance hier liegen.
Na umso besser !! 👍
Ich könnte eigentlich vorab die beiden zum testen verwenden und zusammenstecken. Zu kompliziert gedacht.
So ist es !
Einen klonst du mit der Konfig der Haupt Standort Firewall und verbindest sie dann Rücken zu Rücken am WAN Port mit der für den neuen Standort.
VPN drauf und fertisch !
Du solltest aber IPsec mit IKEv2 und PSKs dann für das VPN nehmen und kein OpenVPN. Es sei denn ihr habt schon eine bestehende OpenVPN Infrastruktur.
Allerdings kann man das dann auch koppeln wie du hier sehen kannst.
Dann kannst du loslegen...
Case closed
Wie kann ich einen Beitrag als gelöst markieren?
ChriBo
Lösung ChriBo 22.04.2020 um 11:16:15 Uhr
Goto Top
Hi,
wie @aqui schon schrieb: nimm IPsec anstelle von OpenVPN, da beide Standorte eine statische IP haben ist es meiner Meinung nach einfacher einzurichten und muß ggf. auch nichtmals getestet werden.
Zum Testen bzw. vorab Einrichten von Firewalls mit allen öffentlichen IPs, VPNs etc. habe ich noch eine pfSense mit 3 Ports womit ich fast alles um die Firewalls einzurichten und zu testen simulieren kann.
-
Aber, wozu großartig testen:
1. Auf beiden Firewalls VPN einrichten, dann disablen.
2. Firewall Regeln eingehend und ausgehend für die getunnelten Netzwerke erstellen.
3. WAN seitig ESP und UDP/500 (ISAKMP) bei IPsec bzw. UDP/1194 Serverseitig für OpenVPN jeweils von der Gegenstelle erlauben
4. an der Außenstelle: ICMP und HTTPS (bzw. Manage Port) von der Hauptstelle aus erlauben.
Gut ist.
-
Sobald die pfSense an der Außenstelle angeschlossen ist und der Internetzugang funktioniert kannst du dich per Remote verbinden und dann das VPN prüfen.

CH
pipen1976
pipen1976 22.04.2020 um 11:40:32 Uhr
Goto Top
Vielen Dank euch beiden. Die WAN Schnittstelle an der jeweiligen pfSense konfiguriere ich zum testen mit der öffentlichen IP Adresse, sehe ich das richtig?

Ich habe für die Aussendienstler und die Homeofficer an Standort 1 bereits OpenVPN im Einsatz. Läuft sehr stabil und zuverlässig. Kann ich für diesen Zweck den OpenVPN Server beibehalten und die Standorte mit IPsec verbinden?
ChriBo
ChriBo 22.04.2020 um 11:57:25 Uhr
Goto Top
Hallo,
Ich habe für die Aussendienstler und die Homeofficer an Standort 1 bereits OpenVPN im Einsatz. Läuft sehr stabil und zuverlässig. Kann ich für diesen Zweck den OpenVPN Server beibehalten und die Standorte mit IPsec verbinden?
Soviel wie ich weiß nicht, du mußt eine neue Instanz auf einem anderen Port (z.B. UDP/1195) erstellen.

CH
aqui
Lösung aqui 22.04.2020 aktualisiert um 13:45:42 Uhr
Goto Top
Nein, das ist NICHT erforderlich !
Im IPsec legst du schlicht und einfach nur einen einfachen zusätzlichen Phase 2 Eintrag für das interne Client OVPN IP Netz an und gut iss.
Du solltest die oben geposteten Links auch mal wirklich lesen, denn dann hättest du diese Frage nicht stellen müssen ! face-wink
Die WAN Schnittstelle an der jeweiligen pfSense konfiguriere ich zum testen mit der öffentlichen IP Adresse, sehe ich das richtig?
Ja, das kannst du in einem Labor Aufbau machen. Es ist aber kosmetisch was du da nimmst.
Du kannst auch irgendeine beliebige IP aus dem RFC 1918 Bereich nehmen:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Nur in einem gemeinsamen IP Netz sollten die bei Back to Back natürlich liegen oder du musst testweise einen kleinen Router (Raspberry, PC usw.) dazwischenklemmen, was aber nicht zwingend ist. Es gilt lediglich darum das sich beide Firewalls über den WAN Port IP seitig "sehen".
Standort 1 bereits OpenVPN im Einsatz. Läuft sehr stabil und zuverlässig.
Das solltest du dann natürlich belassen ! Never touch a running System... face-wink
Kann ich für diesen Zweck den OpenVPN Server beibehalten und die Standorte mit IPsec verbinden?
Ja, natürlich, das klappt fehlerlos !
Mit den 2 pfSensen kannst du den mobilen Mitarbeitern im OpenVPN bei Bedarf sogar ein Backup Dialin einrichten das die einen redundanten VPN Zugang haben für den Fall der Fälle... Da ist alles möglich !
pipen1976
pipen1976 22.04.2020 um 13:48:35 Uhr
Goto Top
Vielen Dank, jetzt ist es angekommenface-wink. Ab ins Laborface-smile
aqui
aqui 22.04.2020 um 13:52:09 Uhr
Goto Top
...aber zack zack ! face-big-smile
Heute abend wollen wir ein positives Feedback hören...!
pipen1976
pipen1976 22.04.2020 um 14:06:52 Uhr
Goto Top
Aber Chef, ich wollte doch heute früher nach Hauseface-wink
aqui
aqui 22.04.2020 um 14:11:23 Uhr
Goto Top
Nix da...dableiben bis das rennt ! 🧐
ChriBo
ChriBo 22.04.2020 um 18:28:50 Uhr
Goto Top
Sch...
Ich hätte besser lesen sollen:
Korrektur: Nartürlich kannst du neben dem vorhandenem OpenVPN Server die Standorte mit IPsec verbinden.
pipen1976
pipen1976 23.04.2020 aktualisiert um 16:03:28 Uhr
Goto Top
Hier mein verspätetes Feedback. Der Tunnel funktioniert einwandfrei mit IPsec. Vielen Dank nochmals für die Hilfe.

Bei OpenVPN ist es einfach möglich VLAN's zur Verfügung zu stellen indem ich sie kommagetrennt in die lokal anliegenden Netzwerke eintrage. Wie gehe ich mit IPsec vor um auf die Vlan's bei Standort 2 zugreifen zu könnnen?
aqui
aqui 23.04.2020 aktualisiert um 17:36:06 Uhr
Goto Top
Der Tunnel funktioniert einwandfrei mit IPsec.
👍 Works as designed !
Bei OpenVPN ist es einfach möglich VLAN's zur Verfügung zu stellen indem ich sie kommagetrennt in die lokal anliegenden Netzwerke eintrage.
Bahnhof ? Ägypten ?
Was soll uns dieser kryptische Satz sagen ?? VLANs haben erstmal mit OpenVPN rein gar nichts zu tun. Und wenn du damit lokale VLAN IP Netze meinst beim OVPN Client Dialin, dann propagierst du die im OpenVPN mit dem route... und dem push... Kommando an die Clients.
ovpn1
ovpn2
Wie gehe ich mit IPsec vor um auf die Vlan's bei Standort 2 zugreifen zu könnnen?
Du meinst die weiteren IP Netze die es dort gibt ?!
Die musst du mit einer weiteren Phase 2 Definition eintragen. Wie dir oben schon gesagt wurde: Bitte lies die dir dort geposteten Infos durch die alles auf dem Silbertablett präsentieren:
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client

Du könntest dir das auch sparen, allerdings hängt das dann davon ab WIE intelligent du die lokalen VLANs/IP Netze adressiert hast.
Wenn du z.B. sinnvoll und intelligent den Standort im 2ten Byte der Adresse kodiert hast also z.B. so:
  • 172.30.1.0 /24 = Management VLAN 2ter Standort
  • 172.30.10.0 /24 = Client VLAN 2ter Standort
  • 172.30.15.0 /24 = Telefonie/VoIP VLAN 2ter Standort
  • 172.30.20.0 /24 = Server VLAN 2ter Standort
  • 172.30.30.0 /24 = Firmen WLAN 2ter Standort
usw.
Dann reicht es wenn du als Netzwerk nur die 172.30.0.0 mit einer 16 Bit Maske (255.255.0.0) in die Phase 2 einträgst. Du ahnst es bereits....
Dann routet die Firewall allen Traffic mit 172.30.x.y in den Tunnel was dann alle dortigen lokalen VLANs inkludiert.
Wenn du keine homogene Adressierung hast oder eine die sich mit einer intelligenten CIDR Maske zusammenfassen lässt, dann musst du eben mehrere Phase 2 Einträge pro IP Netz konfigurieren.
Hier zeigt sich dann immer wer in der Firmen IP Adressierung intelligent und mit Augenmaß vorgegangen ist ! face-wink
pipen1976
pipen1976 27.04.2020 um 14:02:01 Uhr
Goto Top
Am Standort 1 sind die IP Netze folgend kodiert:

LAN/default 172.16.0.0/24
VLANVOIP 172.16.1.0/24
VLANGEB 172.16.2.0/24
VLANAZUBI 172.16.6.0/24
VLANCAM 172.16.8.0/26
VLANPRINT 172.16.9.0/26
VLANGAST 172.16.11.0/24
VLANTEST 172.16.12.0/24
VLANPROD 172.16.20.0/24

Am Standort 2 werden die IP Netze so kodiert:

LAN 172.16.100.0/24
VLANPROD 172.16.101.0/24
VLANGEB 172.16.102.0/24
VLANTECHNIK 172.16.105.0/24

Damit sollte die Adressierung passen würde ich sagen.

Wenn ich in die Phase 2 am Standort 1 172.16.0.0/16, als anzupingenden Host 172.16.100.2 (LAN IP Adresse Standort 2)
und am Standort 2 172.16.0.0/16, als anzupingenden Host 172.16.0.5 (LAN IP Adresse Standort 1) eintrage, dann kann ich die Schnittstellen und die angeschlossenen Clients pingen. Allerdings kann ich von Standort 1 kein anliegendes IP Netz von Standort 2 erreichen. z.B. 172.16.101.0/24

Ich kann auch nichts in den pfSense logs finden.
aqui
Lösung aqui 27.04.2020 aktualisiert um 14:19:05 Uhr
Goto Top
Am Standort 1 sind die IP Netze folgend kodiert:
Das passt ja perfekt.
Dann stellst du die Phase 2 so ein das du das Netz 172.16.0.0 /19 also mit einem 19er Prefix nimmst (Maske 255.255.224.0) Das routet dann alle IP Netze von 172.16.0.0 bis 172.16.32.0 in den Tunnel.

Das gleiche machst du mit dem Standort 2 auch mit einem /19er Prefix !
Das inkludiert dort dann die Netze 172.16.96.0 bis 172.16.127.254
Bedenke aber das du dann festgenagelt bis auf diese lokale Adressierung in den Standorten mit diesen Subnetzen.
Du hast noch gewisse Grenzen der Gestaltung.
An Standort 1 könntest du auch mit einem 18 Bit Prefix (255.255.192.0) arbeiten das lässt dir dann am Standort 1 den Bereich von 172.16.0.0 bis 172.16.64.254 für die lokale VLAN Adressierung also ein bischen Luft mit der Planung zukünftiger Netze.
Beim Standort 2 musst du zwingend beim 19er Prefix bleiben sonst würde es mit einem 18er bei Standort 1 Überschneidungen geben.
Wenn ich in die Phase 2 am Standort 1 172.16.0.0/16
Das ist grundfalsch !! Denke mal bitte selber etwas nach, mit einem /16er Prefix in der P2 ist doch eine eindeutige Wegefindung über beide Standorte vollkommen unmöglich ! Das inkludiert doch das gesamte 172.16er Netz ! Wie willst du da noch in die Standortnetze unterscheiden. Einfach mal etwas logisch nachdenken... face-wink

Fazit:
Phase 2 Einstellung für den Standort 1:
  • Local, Type=Net, 172.16.0.0, Maske /19 (255.255.224.0)
  • Remote, Type=Net, 172.16.96.0, Maske /19 (255.255.224.0)
Phase 2 Einstellung für den Standort 2 dann umgedreht analog dazu:
  • Local, Type=Net, 172.16.96.0, Maske /19 (255.255.224.0)
  • Remote, Type=Net ,172.16.0.0, Maske /19 (255.255.224.0)

Fertisch !
Durch dein gutes, und vorausschauendes Standort IP Adresskonzept wird das dann recht einfach ! face-wink
pipen1976
pipen1976 27.04.2020 um 14:50:03 Uhr
Goto Top
Zitat von @aqui:

Durch dein gutes, und vorausschauendes Standort IP Adresskonzept wird das dann recht einfach ! face-wink

Wenigstens das habe ich richtig gemacht face-wink

Der Tunnel funktioniert jetzt auch einwandfrei. Ich kann alle lokal anliegenden IP Netze anpingen. Vielen, vielen herzlichen Dank nochmals.
aqui
aqui 27.04.2020 aktualisiert um 15:35:52 Uhr
Goto Top
Immer gerne wieder ! War das Einschliessen im Labor also gar nicht so schlimm... face-wink
pipen1976
pipen1976 27.04.2020 um 16:10:58 Uhr
Goto Top
Nein überhaupt nichtface-smile
Jetzt gehts weiter mit dem Feintuning und dann mal an die produktive pfSense anbinden.
aqui
aqui 27.04.2020 aktualisiert um 16:22:40 Uhr
Goto Top
Dann viel Erfolg !
Aber nach dem hervorragenden Testergebnis sollte es ja keinerlei Hürden mehr geben ! face-wink