6
PFSense VPN Site2Site Remotesite an DHCP-Server
Hallo werte IT-Gemeinde,
ich habe folgendes Problem. Ich möchte 2 Standorte per VPN miteinander verbinden. AN beiden Standorten läuft die pfSense 2.7.0.
Welches VPN-Vefahren wäre am sinnvollsten für diesen Einsatz? Schwierigkeit dabei ist, ein Clients am LAN der pfSense der Remotesite, sollen ihre IP vom DHCP-Server des Hauptstandortes bekommen !
Hat schonmal jemand das entsprechende Szenario umgesetzt? Wie wäre das how to?
vielen lieben Dank
ich habe folgendes Problem. Ich möchte 2 Standorte per VPN miteinander verbinden. AN beiden Standorten läuft die pfSense 2.7.0.
Welches VPN-Vefahren wäre am sinnvollsten für diesen Einsatz? Schwierigkeit dabei ist, ein Clients am LAN der pfSense der Remotesite, sollen ihre IP vom DHCP-Server des Hauptstandortes bekommen !
Hat schonmal jemand das entsprechende Szenario umgesetzt? Wie wäre das how to?
vielen lieben Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 31877018435
Url: https://administrator.de/contentid/31877018435
Ausgedruckt am: 23.11.2024 um 13:11 Uhr
6 Kommentare
Neuester Kommentar
Morschen.
Warum nicht die aktuelle 2.7.2?
IPSec oder Wireguard tun beide ihren Dienst. Ich würde aktuell, aus persönlicher Präferenz, IPSec für die Site-2-Site Verbindungen nutzen.
Wie sieht der Hintergrund für diese Anforderung aus?
Gruß
Marc
Warum nicht die aktuelle 2.7.2?
Welches VPN-Vefahren wäre am sinnvollsten für diesen Einsatz?
IPSec oder Wireguard tun beide ihren Dienst. Ich würde aktuell, aus persönlicher Präferenz, IPSec für die Site-2-Site Verbindungen nutzen.
Schwierigkeit dabei ist, ein Clients am LAN der pfSense der Remotesite, sollen ihre IP vom DHCP-Server des Hauptstandortes bekommen !
Wie sieht der Hintergrund für diese Anforderung aus?
Gruß
Marc
1
Clients am LAN der pfSense der Remotesite, sollen ihre IP vom DHCP-Server des Hauptstandortes bekommen !
Das ist keine "Schwierigkeit" nur muss man erstmal verstehen was genau technisch damit gemeint ist??- Bedeutet es das das remote LAN und das lokale LAN eine gemeinsame Layer 2 Broadcast Domain nutzen und das VPN letztlich eine Layer 2 Bridge im gleichen IP Netz zwischen ihnen realisiert?
- oder bedeutet es das lediglich nur die DHCP Requests der remoten Clients auf einen zentralen DHCP Server geforwardet werden sollen der dann die IPs für das remote LAN vergibt. (DHCP Relay, Helper Address)
Ersteres würde erzwingen das das VPN Protokoll ein Bridging erfordert, was dann z.B. nur mit OpenVPN im Bridge Mode funktioniert.
https://openvpn.net/community-resources/ethernet-bridging/
Alle anderen VPN Protokolle sind bekanntlich immer Routing basierend mit der ein Bridging Setup unter Punkt 1 technisch nur mit zusätzlichen Hilfsmitteln wie GRE Tunnel Interfaces oder z.B. VxLAN Tunnel möglich wäre im reinen Routing Mode aber nicht.
Die 2te Option ist ein simpler Klassiker den alle Protokolle supporten. Wie Kollege @radiogugu oben schon sagt wäre dann z.B. IPsec mit IKEv2 die einfachste Wahl.
Nun müssen wir leider alle Kristallkugeln WAS genau der TO nun meinte und umsetzen möchte?? Für einen Netzwerk Admin ist er da leider etwas ungenau. 🤔
Ziel ist, das der Client am Remotestandort via VPN-Tunnel eine IP-Adresse aus dem LAN xx vom Hauptstandort bekommt, um deren öffentliche IP zu nutzen. Also der DHCP-Request muss durch den Tunnel zum DHCP-Server der pfsense am Hauptstandort. An der Remote-PFS läuft temporär ein Server der per öffentlicher IP erreichbar sein muss. Das ist der Hintergrund der Geschichte....
Ziel ist, das der Client am Remotestandort via VPN-Tunnel eine IP-Adresse aus dem LAN xx vom Hauptstandort bekommt.
OK, das geht dann einzig nur mit Bridging über den VPN Tunnel oder über einen VxLAN Tunnel der ein Layer 2 Bridging ermöglicht. Klar, denn wie sollte man sonst lokal und remote im LAN ein Netz mit gleicher IP Adressrange bedienen?!An der Remote-PFS läuft temporär ein Server der per öffentlicher IP erreichbar sein muss.
Muss der offen erreichbar sein oder per VPN? Wenn Ersteres warum dann nicht Port Forwarding auf der remoten PFS. Vermutlich denkst du viel zu kompliziert...?!
"Muss der offen erreichbar sein oder per VPN? Wenn Ersteres warum dann nicht Port Forwarding auf der remoten PFS. Vermutlich denkst du viel zu kompliziert...?!" ...
Die Remote-PFS bekommt ihr Internet über Mobilfunk oder Starlink, also in den normalen Tarifen keine öffentliche IP.
Deswegen soll der Server, der über eine öffentliche IP von außen auf diversen Ports (bidirektional) erreichbar sein muss, über die Remote-PFS "nach hause telefonieren" um von dort die öffentliche IP des Anschlußes zu übernehmen.
Die Remote-PFS bekommt ihr Internet über Mobilfunk oder Starlink, also in den normalen Tarifen keine öffentliche IP.
Deswegen soll der Server, der über eine öffentliche IP von außen auf diversen Ports (bidirektional) erreichbar sein muss, über die Remote-PFS "nach hause telefonieren" um von dort die öffentliche IP des Anschlußes zu übernehmen.
- Bitte mal einen grafischen netzwerkplan
Mein Ansatz:
- VPN zum Haupt Standort (kann man mit allen machen bei 2 x Netgate 6100 würde ich es mit IPSec & QAT machen)
- Neben Standort nutz das default gateway zum surfen
- Server dienst am neben Standort portforwarden zum Haupt Standort (um was für einen dienst handelt es sich)
Wenn man mehr/detaillierte Informationen hätte könnte man es genauer beschreiben (es sind zu viele unbekannte variablen um eine wirklich gute Lösung zu finden)
Ich habe noch immer nicht verstanden, warum unbedingt der DHCP vom Haupt Standort genutzt werden soll. @StefanWeber bist du der admin im Unternehmen?
Mein Ansatz:
- VPN zum Haupt Standort (kann man mit allen machen bei 2 x Netgate 6100 würde ich es mit IPSec & QAT machen)
- Neben Standort nutz das default gateway zum surfen
- Server dienst am neben Standort portforwarden zum Haupt Standort (um was für einen dienst handelt es sich)
Wenn man mehr/detaillierte Informationen hätte könnte man es genauer beschreiben (es sind zu viele unbekannte variablen um eine wirklich gute Lösung zu finden)
Ich habe noch immer nicht verstanden, warum unbedingt der DHCP vom Haupt Standort genutzt werden soll. @StefanWeber bist du der admin im Unternehmen?
1
