8
Site To Site - Open-VPN
Hallo,
Ich habe einen Server in Rechenzentrum stehen und vier unabhängige Netzwerke in vier geografisch auseinanderliegenden Gebäuden.
Nun möchte ich dass der Server in RZ als Router zwischen allen vier Netzwerken Arbeitet. Also benötige ich vier Site To Site Verbindungen (Leyer 2).
Das Routing wird dann über ein Routing und Ras (Geplant!) abgewickelt. Leider kenne ich mich mit OpenVPN Garnicht aus.
An rande sei noch erwähnt das bereits eine CA Existiert.(Ich habe mich da eingelesen und gehört dass man eine PKI / Zertifikate braucht um eine Verbindung herstellen zu können).
Letzte Kritische Frage: Hat jemand Erfahrungen mit Alice-DSL IAD (Billig)-Routern und Open-VPN, ich habe angst das es da zu bösen Überaschungen kommen kann, weil die Routing und RAS Interne verbindung geht nur Aus den Alice Routern Raus aber nicht Rein (Trotz Portweiterleitung).
LG, Herbrich
Ich habe einen Server in Rechenzentrum stehen und vier unabhängige Netzwerke in vier geografisch auseinanderliegenden Gebäuden.
Nun möchte ich dass der Server in RZ als Router zwischen allen vier Netzwerken Arbeitet. Also benötige ich vier Site To Site Verbindungen (Leyer 2).
Das Routing wird dann über ein Routing und Ras (Geplant!) abgewickelt. Leider kenne ich mich mit OpenVPN Garnicht aus.
An rande sei noch erwähnt das bereits eine CA Existiert.(Ich habe mich da eingelesen und gehört dass man eine PKI / Zertifikate braucht um eine Verbindung herstellen zu können).
Letzte Kritische Frage: Hat jemand Erfahrungen mit Alice-DSL IAD (Billig)-Routern und Open-VPN, ich habe angst das es da zu bösen Überaschungen kommen kann, weil die Routing und RAS Interne verbindung geht nur Aus den Alice Routern Raus aber nicht Rein (Trotz Portweiterleitung).
LG, Herbrich
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 222232
Url: https://administrator.de/forum/site-to-site-open-vpn-222232.html
Ausgedruckt am: 10.04.2025 um 22:04 Uhr
8 Kommentare
Neuester Kommentar
Dieses Tutorial beantwortet alle deine Fragen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Installation bei OpenVPN ist immer von der Hardware unabhängig und überall gleich. Du als MS Knecht benötigst die MS Variante die es hier zum Download gibt:
http://openvpn.se
bzw.
http://openvpn.net/index.php/download/community-downloads.html
Damit ist dein 4fach Site to Site VPN im Handumdrehen aufgesetzt.
Was deine Frage zum Alice DSL Billigrouter anbetrifft ist diese vollkommen irrelevant, denn dieser Billigrouter kann selber kein OpenVPN wie die beschriebenen Router im obigen Tutorial. Der OpenVPN Tunnelendpunkt ist also immer auf einem anderen Gerät hinter diesem Router, wobei man sagen muss das technisch gesehen es immer besser ist der NAT Router ist auch Tunnelendpunkt. Logischerweise geht das aber bei den Provider Billigsystemen nicht, es sei denn du tauschst ihn gegen einen "anständigen" Router aus.
Einzig ist hier lediglich das Port Forwarding auf diesem Router mit UDP 1194 was du auf diesem Router einstellen musst, damit externen OVPN Verbindungen deinen OVPN Router hinter diesem Router erreichen können.
Da gilt dann wieder die klasssiche Port Forwarding Prozedur und mehr nicht. Der Router schleift also nur durch und nimmt aktiv nicht am VPN teil. Außer das du damit ein Loch in die NAT Firewall dieses Routers gebohrt hast (was aber nur für UDP 1194 gilt) ist weitere Angst also ziemlich unbegründet. Wenn man sonst mal die mickrige Ausstattung und Performance dieser Router beiseite lässt.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Installation bei OpenVPN ist immer von der Hardware unabhängig und überall gleich. Du als MS Knecht benötigst die MS Variante die es hier zum Download gibt:
http://openvpn.se
bzw.
http://openvpn.net/index.php/download/community-downloads.html
Damit ist dein 4fach Site to Site VPN im Handumdrehen aufgesetzt.
Was deine Frage zum Alice DSL Billigrouter anbetrifft ist diese vollkommen irrelevant, denn dieser Billigrouter kann selber kein OpenVPN wie die beschriebenen Router im obigen Tutorial. Der OpenVPN Tunnelendpunkt ist also immer auf einem anderen Gerät hinter diesem Router, wobei man sagen muss das technisch gesehen es immer besser ist der NAT Router ist auch Tunnelendpunkt. Logischerweise geht das aber bei den Provider Billigsystemen nicht, es sei denn du tauschst ihn gegen einen "anständigen" Router aus.
Einzig ist hier lediglich das Port Forwarding auf diesem Router mit UDP 1194 was du auf diesem Router einstellen musst, damit externen OVPN Verbindungen deinen OVPN Router hinter diesem Router erreichen können.
Da gilt dann wieder die klasssiche Port Forwarding Prozedur und mehr nicht. Der Router schleift also nur durch und nimmt aktiv nicht am VPN teil. Außer das du damit ein Loch in die NAT Firewall dieses Routers gebohrt hast (was aber nur für UDP 1194 gilt) ist weitere Angst also ziemlich unbegründet. Wenn man sonst mal die mickrige Ausstattung und Performance dieser Router beiseite lässt.
Hallo,
Vielen Dank für die Schnelle Andword
Der Alice Router ist so gesehen eh nur ein Modem^^, Intern läuft alles über DD-WRT und Microsoft Server. (Windows 2008 r2). Ich habe mit den Alice Routern nur schlechte Erfahrungen gemacht. Deswegen frage ich nach.
Vielen danck noch mal. Ich schreibe dann wen die Verbindung steht.
LG, Herbrich
Vielen Dank für die Schnelle Andword
Der Alice Router ist so gesehen eh nur ein Modem^^, Intern läuft alles über DD-WRT und Microsoft Server. (Windows 2008 r2). Ich habe mit den Alice Routern nur schlechte Erfahrungen gemacht. Deswegen frage ich nach.
Vielen danck noch mal. Ich schreibe dann wen die Verbindung steht.
LG, Herbrich
Hi Herbrich19,
Es laufen alle 3 nur als Modem.
Die OpenVPN-Verbindung machen die Router dahinter, (pfSense, DD-WRT) das schon einige Zeit absolut ohne Probleme.
Aqui hat Dir ja schon die richtigen Seiten verlinkt, brauchst halt nur dei richtige Hardware hinter den Alice-Modems...
Gruß orcape
Ich habe mit den Alice Routern nur schlechte Erfahrungen gemacht. Deswegen frage ich nach.
Habe in meinem Bereich mit 3 Alice IAD-Geräten zu tun, als Router eh nur für den Cunsumerbereich und da nur bei geringsten Anforderungen einsetzbar.Es laufen alle 3 nur als Modem.
Die OpenVPN-Verbindung machen die Router dahinter, (pfSense, DD-WRT) das schon einige Zeit absolut ohne Probleme.
Aqui hat Dir ja schon die richtigen Seiten verlinkt, brauchst halt nur dei richtige Hardware hinter den Alice-Modems...
Gruß orcape
Hallo,
Ich verzichte Endweder auf Hardware (Microsoft Hyper-V) oder halt den DD-WRT (Der auch die Verbindubng via W-Lan aufbaut). Und auf der anderen Seite halt auch nur Software. Ich werde mich da jetzt mal reinarbeiten.
LG, Herbrich
UPDATE1:
Hallo, ich habe jetzt erstmal den DD-WRT Router geflasht mit der vpn Firmware (Alte hatte nur PPTP, vpn-generic hat jetzt auch Open-VPN). Auf den Gateway in RZ habe ich jetzt das x64 MSI Installer Paket heruntergeladen.
Jetzt noch meine letzte frage: Kann ich ein Zertifikat einer Windows-CA nehmen, den dann würde es auch sehr schon alles in die PKI Reinpassen, oder MUSS ich ne zweite PKI darfür aufbauen (Meiner meinung nach ja Schwachsin weil ich dann ja extra für die VPN,s eine zweite PKI hätte -.-).
LG, Herbrich
Ich verzichte Endweder auf Hardware (Microsoft Hyper-V) oder halt den DD-WRT (Der auch die Verbindubng via W-Lan aufbaut). Und auf der anderen Seite halt auch nur Software. Ich werde mich da jetzt mal reinarbeiten.
LG, Herbrich
UPDATE1:
Hallo, ich habe jetzt erstmal den DD-WRT Router geflasht mit der vpn Firmware (Alte hatte nur PPTP, vpn-generic hat jetzt auch Open-VPN). Auf den Gateway in RZ habe ich jetzt das x64 MSI Installer Paket heruntergeladen.
Jetzt noch meine letzte frage: Kann ich ein Zertifikat einer Windows-CA nehmen, den dann würde es auch sehr schon alles in die PKI Reinpassen, oder MUSS ich ne zweite PKI darfür aufbauen (Meiner meinung nach ja Schwachsin weil ich dann ja extra für die VPN,s eine zweite PKI hätte -.-).
LG, Herbrich
Hi,
wenn Du pfSense verwendest, wie in Deinem anderen Thread angedeutet.....
Mit pfSense kannst Du Deine eigenen Zertifikate generieren.
Gruß orcape
wenn Du pfSense verwendest, wie in Deinem anderen Thread angedeutet.....
Mit pfSense kannst Du Deine eigenen Zertifikate generieren.
Gruß orcape
Oder mit der freien XCA Software
http://sourceforge.net/projects/xca/
mit Anleitung:
http://wiki.openvpn.eu/index.php/Schlüsselverwaltung_mit_XCA
oder auch ganz einfach per Mausklick online:
http://www.mobilefish.com/services/ssl_certificates/ssl_certificates.ph ...
Was aber mit Vorsicht zu geniessen ist da man diesem Anbieter vertrauen muss !!
http://sourceforge.net/projects/xca/
mit Anleitung:
http://wiki.openvpn.eu/index.php/Schlüsselverwaltung_mit_XCA
oder auch ganz einfach per Mausklick online:
http://www.mobilefish.com/services/ssl_certificates/ssl_certificates.ph ...
Was aber mit Vorsicht zu geniessen ist da man diesem Anbieter vertrauen muss !!
Hallo,
Optimal währe eine Intermediate-CA die dann Open-SSL macht. Die Client Konfig Filles macht der pfsense via Mausklick fast von alleine. (Endsprechendes Plugin gefunden^^). Hauptproblem ist dass ich keine zwei CA,s haben möchte. Untergeordet ist ok weil es dann ja immer noch alles eine und die Selbe PKI ist und bleibt. Aber mehr wird zu unübersichtlich weil in absehbarer zwei eventuell mehrere Open-VPN Systeme (Eigenständig) über eine Master-CA verwaltet werden sollen, und diese läuft nunmal unter Windows.
LG, Herbrich
Optimal währe eine Intermediate-CA die dann Open-SSL macht. Die Client Konfig Filles macht der pfsense via Mausklick fast von alleine. (Endsprechendes Plugin gefunden^^). Hauptproblem ist dass ich keine zwei CA,s haben möchte. Untergeordet ist ok weil es dann ja immer noch alles eine und die Selbe PKI ist und bleibt. Aber mehr wird zu unübersichtlich weil in absehbarer zwei eventuell mehrere Open-VPN Systeme (Eigenständig) über eine Master-CA verwaltet werden sollen, und diese läuft nunmal unter Windows.
LG, Herbrich
Die OVPN CA bzw. Zertifikate haben mit den Windows internen nix zu tun sind also vollkommen getrennt davon wenn man möchte.
Ist es das was du wolltest ?
Ist es das was du wolltest ?
