stefanweber
Jan 31, 2024, updated at 08:42:07 (UTC)
view828
view6
0
Goto Top

PFSense VPN Site2Site Remotesite an DHCP-Server

GermanQuestionVPN
Hallo werte IT-Gemeinde,

ich habe folgendes Problem. Ich möchte 2 Standorte per VPN miteinander verbinden. AN beiden Standorten läuft die pfSense 2.7.0.
Welches VPN-Vefahren wäre am sinnvollsten für diesen Einsatz? Schwierigkeit dabei ist, ein Clients am LAN der pfSense der Remotesite, sollen ihre IP vom DHCP-Server des Hauptstandortes bekommen !
Hat schonmal jemand das entsprechende Szenario umgesetzt? Wie wäre das how to?

vielen lieben Dank
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 31877018435

Url: https://administrator.de/contentid/31877018435

Printed on: April 28, 2024 at 18:04 o'clock

6 Comments
Latest comment
Goto Top
Member: radiogugu
radiogugu Jan 31, 2024 at 08:50:29 (UTC)
Goto Top
Morschen.

Zitat von @StefanWeber:
AN beiden Standorten läuft die pfSense 2.7.0.

Warum nicht die aktuelle 2.7.2?

Welches VPN-Vefahren wäre am sinnvollsten für diesen Einsatz?

IPSec oder Wireguard tun beide ihren Dienst. Ich würde aktuell, aus persönlicher Präferenz, IPSec für die Site-2-Site Verbindungen nutzen.

Schwierigkeit dabei ist, ein Clients am LAN der pfSense der Remotesite, sollen ihre IP vom DHCP-Server des Hauptstandortes bekommen !

Wie sieht der Hintergrund für diese Anforderung aus?

Gruß
Marc
heart1
Member: aqui
aqui Jan 31, 2024 updated at 09:23:33 (UTC)
Goto Top
Clients am LAN der pfSense der Remotesite, sollen ihre IP vom DHCP-Server des Hauptstandortes bekommen !
Das ist keine "Schwierigkeit" nur muss man erstmal verstehen was genau technisch damit gemeint ist??
  • Bedeutet es das das remote LAN und das lokale LAN eine gemeinsame Layer 2 Broadcast Domain nutzen und das VPN letztlich eine Layer 2 Bridge im gleichen IP Netz zwischen ihnen realisiert?
  • oder bedeutet es das lediglich nur die DHCP Requests der remoten Clients auf einen zentralen DHCP Server geforwardet werden sollen der dann die IPs für das remote LAN vergibt. (DHCP Relay, Helper Address)
https://docs.netgate.com/pfsense/en/latest/services/dhcp/relay.html

Ersteres würde erzwingen das das VPN Protokoll ein Bridging erfordert, was dann z.B. nur mit OpenVPN im Bridge Mode funktioniert.
https://openvpn.net/community-resources/ethernet-bridging/
Alle anderen VPN Protokolle sind bekanntlich immer Routing basierend mit der ein Bridging Setup unter Punkt 1 technisch nur mit zusätzlichen Hilfsmitteln wie GRE Tunnel Interfaces oder z.B. VxLAN Tunnel möglich wäre im reinen Routing Mode aber nicht.
Die 2te Option ist ein simpler Klassiker den alle Protokolle supporten. Wie Kollege @radiogugu oben schon sagt wäre dann z.B. IPsec mit IKEv2 die einfachste Wahl.
Nun müssen wir leider alle Kristallkugeln WAS genau der TO nun meinte und umsetzen möchte?? Für einen Netzwerk Admin ist er da leider etwas ungenau. 🤔
Member: StefanWeber
StefanWeber Jan 31, 2024 at 12:22:45 (UTC)
Goto Top
Ziel ist, das der Client am Remotestandort via VPN-Tunnel eine IP-Adresse aus dem LAN xx vom Hauptstandort bekommt, um deren öffentliche IP zu nutzen. Also der DHCP-Request muss durch den Tunnel zum DHCP-Server der pfsense am Hauptstandort. An der Remote-PFS läuft temporär ein Server der per öffentlicher IP erreichbar sein muss. Das ist der Hintergrund der Geschichte....
Member: aqui
aqui Jan 31, 2024 updated at 13:51:39 (UTC)
Goto Top
Ziel ist, das der Client am Remotestandort via VPN-Tunnel eine IP-Adresse aus dem LAN xx vom Hauptstandort bekommt.
OK, das geht dann einzig nur mit Bridging über den VPN Tunnel oder über einen VxLAN Tunnel der ein Layer 2 Bridging ermöglicht. Klar, denn wie sollte man sonst lokal und remote im LAN ein Netz mit gleicher IP Adressrange bedienen?!
An der Remote-PFS läuft temporär ein Server der per öffentlicher IP erreichbar sein muss.
Muss der offen erreichbar sein oder per VPN? Wenn Ersteres warum dann nicht Port Forwarding auf der remoten PFS. Vermutlich denkst du viel zu kompliziert...?!
Member: StefanWeber
StefanWeber Jan 31, 2024 at 14:32:41 (UTC)
Goto Top
"Muss der offen erreichbar sein oder per VPN? Wenn Ersteres warum dann nicht Port Forwarding auf der remoten PFS. Vermutlich denkst du viel zu kompliziert...?!" ...

Die Remote-PFS bekommt ihr Internet über Mobilfunk oder Starlink, also in den normalen Tarifen keine öffentliche IP.
Deswegen soll der Server, der über eine öffentliche IP von außen auf diversen Ports (bidirektional) erreichbar sein muss, über die Remote-PFS "nach hause telefonieren" um von dort die öffentliche IP des Anschlußes zu übernehmen.
Member: micneu
micneu Jan 31, 2024 updated at 16:35:15 (UTC)
Goto Top
- Bitte mal einen grafischen netzwerkplan
Mein Ansatz:
- VPN zum Haupt Standort (kann man mit allen machen bei 2 x Netgate 6100 würde ich es mit IPSec & QAT machen)
- Neben Standort nutz das default gateway zum surfen
- Server dienst am neben Standort portforwarden zum Haupt Standort (um was für einen dienst handelt es sich)
Wenn man mehr/detaillierte Informationen hätte könnte man es genauer beschreiben (es sind zu viele unbekannte variablen um eine wirklich gute Lösung zu finden)

Ich habe noch immer nicht verstanden, warum unbedingt der DHCP vom Haupt Standort genutzt werden soll. @StefanWeber bist du der admin im Unternehmen?
heart1
GermanQuestionVPN
Hotly discussed
DaniEnd of availability for classic Teams clientDani - 1 CommentadmtechDeveloper diary: Release 6.1admtech