15
PfSense VPN so realisierbar?
Hallo zusammen,
ich habe folgendes vor und wollte mal eure Meinung hören, ob dies so zu realisiern ist oder ihr noch einen oder mehrere Haken findet.
Hier erst mal die Planung:
update: +DECT
Derzeit ist der Server Standalone und soll auch keinesfalls ins Internet kommen (ältere Win-version mit schützenswerten Daten, kleines Unternehmen).
FB`s bereits vorhanden, der Hauptstandort hat bereits eine feste IP. Netzwerkranges noch frei wählbar bzw. konfigurierbar. Die Clients am Nebenstandort sollen auch nicht in Inet kommen und nur über VPN kommunizieren.
Das wollte ich wohl mit PFSense, womit ich mich aber noch nicht auskenne und im Thema VPN nicht so ganz tief stecke, wobei OpenVPN letztens gut klappte, brauche aber nun noch die Firewall. Es gibt ja gute Anleitungen, z.B. von aqui
, denke damit wird`s doch irgendwie gehen, oder?
Bin leider etwas zeitlich knapp dran, daher wollt ich mal schauen, ob ihr dort Probleme seht und welche Tipps ihr mir geben könnt.
Wichtig ist das der Server nur über den VPN-Tunnel erreichbar ist. Wollte nun nicht die Hardware kaufen und dann funktioniert`s nicht.
Greetz
Ravers
ich habe folgendes vor und wollte mal eure Meinung hören, ob dies so zu realisiern ist oder ihr noch einen oder mehrere Haken findet.
Hier erst mal die Planung:
Derzeit ist der Server Standalone und soll auch keinesfalls ins Internet kommen (ältere Win-version mit schützenswerten Daten, kleines Unternehmen).
FB`s bereits vorhanden, der Hauptstandort hat bereits eine feste IP. Netzwerkranges noch frei wählbar bzw. konfigurierbar. Die Clients am Nebenstandort sollen auch nicht in Inet kommen und nur über VPN kommunizieren.
Das wollte ich wohl mit PFSense, womit ich mich aber noch nicht auskenne und im Thema VPN nicht so ganz tief stecke, wobei OpenVPN letztens gut klappte, brauche aber nun noch die Firewall. Es gibt ja gute Anleitungen, z.B. von aqui
, denke damit wird`s doch irgendwie gehen, oder?Bin leider etwas zeitlich knapp dran, daher wollt ich mal schauen, ob ihr dort Probleme seht und welche Tipps ihr mir geben könnt.
Wichtig ist das der Server nur über den VPN-Tunnel erreichbar ist. Wollte nun nicht die Hardware kaufen und dann funktioniert`s nicht.
Greetz
Ravers
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294398
Url: https://administrator.de/contentid/294398
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
kannst du diese Fritten denn noch im Modem-Betrieb laufen lassen?
Das wäre um Einiges einfacher, wenn die PfSense die Einwahl ins Netz übernimmt.
Dann kannst du alles schön voneinander trennen und mit Regeln den Zugriff auf deine Server/Clients steuern.
Falls die Fritzboxen bestehen bleiben müssen (könnten übrigens auch durch ein Modem ersetzt werden, die sind nicht so teuer), müsstest du halt die NAT-Thematik behandeln.
Gruß
kannst du diese Fritten denn noch im Modem-Betrieb laufen lassen?
Das wäre um Einiges einfacher, wenn die PfSense die Einwahl ins Netz übernimmt.
Dann kannst du alles schön voneinander trennen und mit Regeln den Zugriff auf deine Server/Clients steuern.
Falls die Fritzboxen bestehen bleiben müssen (könnten übrigens auch durch ein Modem ersetzt werden, die sind nicht so teuer), müsstest du halt die NAT-Thematik behandeln.
Gruß
Naja, auch wenn Aqui mich gleich steinigt - aber so mache ich es mit meinen IPCops im Grunde genommen auch.
Mi dem einzigen Unterschied, dass ich auch noch ins Internet komme. Ich könnte den Traffic aber via Filterregel sperren...
Mi dem einzigen Unterschied, dass ich auch noch ins Internet komme. Ich könnte den Traffic aber via Filterregel sperren...
Hi,
die FB am Nebenstandort muß bleiben, die FB am Hauptstandort wäre diskutabel aber nicht ideal aufgrund des Wlans, dem genutztem DECT der FB(fehlt auf der Zeichnung, sry) und physischem Standort. Ggf. könnte man dies aber evtl. über dlan-Wireless und DECT-Verstärker lösen, wenn`s denn nicht anders gehen würde.
FB und NAT ist ja quasi auch einer der großen Fragen, ob es damit klappt.
Kann man bei PFSense z.B. ein DenyAll für eine IP geben, die aber "voll" vom VPN erreichbar ist.
Stabilität ist übrigens auch ein wichtiges Thema, denn den Damen darf ich`s nicht zu kompliziert machen
Mit freundlichen Grüßen
die FB am Nebenstandort muß bleiben, die FB am Hauptstandort wäre diskutabel aber nicht ideal aufgrund des Wlans, dem genutztem DECT der FB(fehlt auf der Zeichnung, sry) und physischem Standort. Ggf. könnte man dies aber evtl. über dlan-Wireless und DECT-Verstärker lösen, wenn`s denn nicht anders gehen würde.
FB und NAT ist ja quasi auch einer der großen Fragen, ob es damit klappt.
Kann man bei PFSense z.B. ein DenyAll für eine IP geben, die aber "voll" vom VPN erreichbar ist.
Stabilität ist übrigens auch ein wichtiges Thema, denn den Damen darf ich`s nicht zu kompliziert machen
Mit freundlichen Grüßen
Naja, auch wenn Aqui mich gleich steinigt - aber so mache ich es mit meinen IPCops im Grunde genommen auch.
Nützt Steinigen denn was bei Masochisten die sich eine IPCop Konfig antun... ?? 
Spaß beiseite...
Ein klassisches VPN Design was natürlich problemlos funktioniert. Spannend wäre noch zu erfahren welches VPN Protokoll du gedenkst zu verwenden ??
Kollege michi1983 hats ja schon gesagt, besser wäre ein reines_xDSL_Modem am WAN Port zum DSL Provider. Oder eben die Konfiguration der FB zu einem reinen Modem (PPPoE Passthrough) was aber bei neueren Modellen nicht mehr möglich ist in der Firmware.
Das erspart dir das Port Forwarding der VPN Protokoll Ports auf beiden Seiten und das eigentlich überflüssige doppelte NAT (IP Adress Translation) auf beiden Seiten. Tecnisch wäre diese Lösung besser.
Technisch funktionieren beide aber problemlos.
Hi,
wollte es schon mit den FB`s machen, da an einer ich vermutlich nicht alles verdrehen kann (Nebenstandort mit unbekannten Netzen).
DECT (gerade einige neue FritzFon`s geholt) und Wlan muß es weiterhin geben an beiden Standorten. Das könnte man sicherlich auch anders lösen, aber aufgrund der zeitnot möchte ich es lieber lassen wie es ist.
Muss mich ja auch noch in PFSense einlesen, und auf anhieb klappen tut`s meist ja auch nicht.
Klassich ist aber auch das die Geräte hinterm VPN auch Inet haben, aber das soll ja wohl zu unterbinden sein, da dies ja nicht darf.
Fb zu Fb-VPN fällt aus wegen den anderen mir unbekannten Geräten am Nebenstandort.
Man munkelt, das man in neuen Fritzen IPec deaktivieren soll, doch wo soll man das finden? Das ist das derzeit vorgesehene Protokoll. Oder nur das unter VPN-Verbindungen keine solche auftauchen (Internet-Sicherheit-Reiter VPN)?
Also hol ich mir 2 solch Alix-Bundles und dann soll`s schon klappen, notfalls auch mit OpenVPN, korrekt? ;)
greetz
ravers
wollte es schon mit den FB`s machen, da an einer ich vermutlich nicht alles verdrehen kann (Nebenstandort mit unbekannten Netzen).
DECT (gerade einige neue FritzFon`s geholt) und Wlan muß es weiterhin geben an beiden Standorten. Das könnte man sicherlich auch anders lösen, aber aufgrund der zeitnot möchte ich es lieber lassen wie es ist.
Muss mich ja auch noch in PFSense einlesen, und auf anhieb klappen tut`s meist ja auch nicht.
Klassich ist aber auch das die Geräte hinterm VPN auch Inet haben, aber das soll ja wohl zu unterbinden sein, da dies ja nicht darf.
Fb zu Fb-VPN fällt aus wegen den anderen mir unbekannten Geräten am Nebenstandort.
Man munkelt, das man in neuen Fritzen IPec deaktivieren soll, doch wo soll man das finden? Das ist das derzeit vorgesehene Protokoll. Oder nur das unter VPN-Verbindungen keine solche auftauchen (Internet-Sicherheit-Reiter VPN)?
Also hol ich mir 2 solch Alix-Bundles und dann soll`s schon klappen, notfalls auch mit OpenVPN, korrekt? ;)
greetz
ravers
Für jemanden, der seit dem Kernel 1.2.13 "dabei" ist, ist der IPCop intuitiv bedienbar.
Baut einen ordentlichen PXE Bootinstaller für das ALIX und ich verkaufe zukünftig nur noch Sensen. Versprochen
Mmmhhhh...müsste man mit dem APU1D glatt mal checken
Immerhin lässt es das Boot Menü zu mit PXE zu booten...
SD flashen und reinstecken geht aber (fast) auch so schnell
Immerhin lässt es das Boot Menü zu mit PXE zu booten...
SD flashen und reinstecken geht aber (fast) auch so schnell
Da hast Du Recht.
Dann müssen wir die Dinger aber immer auseinanderbauen^^
Dann müssen wir die Dinger aber immer auseinanderbauen^^
5 SD Karten gleich fertig flashen vor dem Zusammenbau
Dann muss man sie nie mehr zerlegen...
PXE wäre schon pfiffig...keine Frage.
Dann muss man sie nie mehr zerlegen...
PXE wäre schon pfiffig...keine Frage.
Betanken via Card Reader ist natürlich technisch kein Thema. Dann hätte ich in meinem Koffer 5 SD-Karten für IP-Cops, 5 SD-Karten für Pfsense usw. usf. - wohlgemerkt, pro Mitarbeiter.
Des weiteren wären dann noch 5 CF-Karten pro System, ggf. 5 Micro-SD-Karten, "ebenfalls usw. usf."
Ein Notebook mit einem zweiten (USB-)Netzwerkadapter hat man sowieso immer im Koffer.
Weiterhin ist es häufig so, dass man derartige Geräte i.d.R. fertig konfiguriert bzw. montiert bekommt und diese nicht jedes Mal zerlegen möchte. Ich denke da z.B. an Leih- und Mietfirewalls - so etwas haben wir durchaus im Einsatz.
Wenn Du möchtest, kann ich Dir den PXE-Betankungsprozess gerne mal erläutern. Ich habe mich da relativ intensiv mit beschäftigt und bekomme so etwas normalerweise recht fix hin - zumindest unter Debian und CentOS...^^
Des weiteren wären dann noch 5 CF-Karten pro System, ggf. 5 Micro-SD-Karten, "ebenfalls usw. usf."
Ein Notebook mit einem zweiten (USB-)Netzwerkadapter hat man sowieso immer im Koffer.
Weiterhin ist es häufig so, dass man derartige Geräte i.d.R. fertig konfiguriert bzw. montiert bekommt und diese nicht jedes Mal zerlegen möchte. Ich denke da z.B. an Leih- und Mietfirewalls - so etwas haben wir durchaus im Einsatz.
Wenn Du möchtest, kann ich Dir den PXE-Betankungsprozess gerne mal erläutern. Ich habe mich da relativ intensiv mit beschäftigt und bekomme so etwas normalerweise recht fix hin - zumindest unter Debian und CentOS...^^
Mach ich hier auch mit einem RasPi und Notfall Winblows. Linux natürlich auch... Außerdem auch Switches von Cisco und Brocade usw. mit Autoupdate.
Netzwerk Management Server mit Raspberry Pi
Nun überlassen wir dem TO aber mal wieder das Wort für seinen Thread hier...der schreibt schon nix mehr aus Angst
Netzwerk Management Server mit Raspberry Pi
Nun überlassen wir dem TO aber mal wieder das Wort für seinen Thread hier...der schreibt schon nix mehr aus Angst
Moin zusammen,
warte auf die Lieferung der o.g. Geräte, dann seh ich weiter (hoffe die Alix-Boards sind zuverlässig und nicht komplett veraltet, Leistung braucht`s aber eh kaum).
Will nur 2 PFsensen einrichten, ggf. 4 Karten bespielen, da brauch ich noch kein PXE.
Wenn ich die Geräte habe werden sicherlich noch Fragen auftauchen...
Sprich ab morgen oder übermorgen komme ich mit neuen Fragen ... fürchte ich! ;)
Die Konstellation habe ich bzw. besser gesagt ein Kollege, der sich damit besser auskennt, versucht mit Draytek-Routern zu realisieren. Hier ist er aber gescheitert (daher jetzt auch etwas zeitnot). Wollte das Projekt eigentlich abgeben, aber der Schuß ging nach hinten los.
Von daher wollte ich vorher fragen, ob es mit der Sense gehen würde. Noch ein Rückschlag wäre gar nicht gut. Eröffnungstermin der Zweigstelle steht, da muß dann auch was laufen.
Danke schon mal an alle Beteiligten! Schaut bitte mal wieder rein ...
Gruß
ravers
warte auf die Lieferung der o.g. Geräte, dann seh ich weiter (hoffe die Alix-Boards sind zuverlässig und nicht komplett veraltet, Leistung braucht`s aber eh kaum).
Will nur 2 PFsensen einrichten, ggf. 4 Karten bespielen, da brauch ich noch kein PXE.
Wenn ich die Geräte habe werden sicherlich noch Fragen auftauchen...
Sprich ab morgen oder übermorgen komme ich mit neuen Fragen ... fürchte ich! ;)
Die Konstellation habe ich bzw. besser gesagt ein Kollege, der sich damit besser auskennt, versucht mit Draytek-Routern zu realisieren. Hier ist er aber gescheitert (daher jetzt auch etwas zeitnot). Wollte das Projekt eigentlich abgeben, aber der Schuß ging nach hinten los.
Von daher wollte ich vorher fragen, ob es mit der Sense gehen würde. Noch ein Rückschlag wäre gar nicht gut. Eröffnungstermin der Zweigstelle steht, da muß dann auch was laufen.
Danke schon mal an alle Beteiligten! Schaut bitte mal wieder rein ...
Gruß
ravers
hoffe die Alix-Boards sind zuverlässig und nicht komplett veraltet,
Nein natürlich nicht. Weder die 2Dxx die sogar dedizierte Crypto Hardware mitbringen für VPN (im Setup aktivieren !) und die APUs so oder so nicht.ggf. 4 Karten bespielen, da brauch ich noch kein PXE.
Nee, nicht wirklich. Win32DiskImager ist hier dein Freund oder der Apple PiBaker wenn du einen Mac hast.Wenn ich die Geräte habe werden sicherlich noch Fragen auftauchen...
Wir freuen uns auf jeder Herausforderung hier ob es mit der Sense gehen würde. Noch ein Rückschlag wäre gar nicht gut.
Das ist ein simples Standarddesign was mit jeder Firewall oder VPN Router realisierbar ist.Du findest alles in den hiesigen Tutorials:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und den weiterführenden Links am Schluss...
Hi,
das Thema hat sich nun zum Wohlgefallen erledigt.
Installation und konfiguration war recht einfach, was mich sehr erfreut hat. Auch ist der Aufbau recht übersichtlich, auch wenn an vielen Punkten seehr ausführlich.
Kam aber als PFsense-Frischling sehr schnell rein und konnte bereits am 2ten Abend das Thema erfolgreich abschliessen.
Von daher, alles top!
Danke ... und tschüß! ;)
greetz
ravers
das Thema hat sich nun zum Wohlgefallen erledigt.
Installation und konfiguration war recht einfach, was mich sehr erfreut hat. Auch ist der Aufbau recht übersichtlich, auch wenn an vielen Punkten seehr ausführlich.
Kam aber als PFsense-Frischling sehr schnell rein und konnte bereits am 2ten Abend das Thema erfolgreich abschliessen.
Von daher, alles top!
Danke ... und tschüß! ;)
greetz
ravers
Hört sich gut an....
