chip-monkey
Goto Top

Site2Site VPN mit OPNSense und xxx ?

Hallo zusammen!

Ich möchte gerne ein Site2Site vpn aufbauen. Leider fehlt es mir an Erfahrung und langsam weiß ich auch nicht mehr, wonach ich googeln soll.

Wir haben einen Server angemietet, auf dem als Firewall eine OPNSense läuft. Ich habe es geschafft, mit dem vorinstallierten VPN Zugang einen VPN-Client unter WIndows ans laufen zu bekommen. Das ganze funktioniert mit OPENVPN

Nun möchte ich aber gerne eine SITE2SITE aufbauen.

Die OPNsense hat natürlich eine feste IP, die Standorte, von denen das VPN aufgebaut werden sollen haben keine feste IP. Das ist auch in Zukunft nicht änderbar leider.

Ich bin noch nicht sehr erfahren mit dem Aufbau von VPN-Verbindungen und habe einfach keine Idee mehr, wie sich das Szenario bewerkstelligen ließe.

Was kann ich auf der gegenseite einsetzen, um das VPN aufzubauen?
Ich hab hier noch einige Rechner stehen, die als Router taugen könnten, ich wäre aber auch bereit einen vernünftigen Router anzuschaffen.

Vielleicht hat ja hier jemand eine Idee oder kann mir sagen, wonach ich noch googeln könnte face-smile


Verzweifelte Grüße

Content-ID: 380895

Url: https://administrator.de/forum/site2site-vpn-mit-opnsense-und-xxx-380895.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Voiper
Voiper 20.07.2018 um 09:48:54 Uhr
Goto Top
Zitat von @chip-monkey:

Hallo zusammen!
Moin,

Ich möchte gerne ein Site2Site vpn aufbauen. Leider fehlt es mir an Erfahrung und langsam weiß ich auch nicht mehr, wonach ich googeln soll.
Google: IPSec Kann die Opensense und jeder Client (Notfalls mit 3rd Party Software)

Wir haben einen Server angemietet, auf dem als Firewall eine OPNSense läuft. Ich habe es geschafft, mit dem vorinstallierten VPN Zugang einen VPN-Client unter WIndows ans laufen zu bekommen. Das ganze funktioniert mit OPENVPN
Ja gut. Ist ein Anfang, nützt aber erstmal nichts ;)

Nun möchte ich aber gerne eine SITE2SITE aufbauen.
ok

Die OPNsense hat natürlich eine feste IP, die Standorte, von denen das VPN aufgebaut werden sollen haben keine feste IP. Das ist auch in Zukunft nicht änderbar leider.
Dafür gibt es Dyndns-Anbieter

Ich bin noch nicht sehr erfahren mit dem Aufbau von VPN-Verbindungen und habe einfach keine Idee mehr, wie sich das Szenario bewerkstelligen ließe.
Wie gesagt: IPSec und Dyndns nehmen Dir 90% der Arbeit ab.

Was kann ich auf der gegenseite einsetzen, um das VPN aufzubauen?
Lancom, Mikrotik....alles was IPSec kann
Ich hab hier noch einige Rechner stehen, die als Router taugen könnten, ich wäre aber auch bereit einen vernünftigen Router anzuschaffen.
Dann Lancom oder Mikrotik oder eine Fritzbox
Vielleicht hat ja hier jemand eine Idee oder kann mir sagen, wonach ich noch googeln könnte face-smile
Siehe Oben

Verzweifelte Grüße
Gruß, V
chip-monkey
chip-monkey 20.07.2018 um 09:56:55 Uhr
Goto Top
Hallo Voiper,
danke für Deine Antwort. Leider hilft mir dies absolut nicht weiter.

Könntest Du Deine Aussagen bitte ein wenig ausführlicher gestalten?
Voiper
Lösung Voiper 20.07.2018 um 10:00:45 Uhr
Goto Top
Moin,

klar. Was du benötigst ist eine Site2Site Verbindung mittels IPSec.

Dazu hat unser guter @aqui ein Tutorial geschrieben. Lies Dir durch. Da hast du fast alles nötige beschrieben:

IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Gruß, V
fredmy
Lösung fredmy 20.07.2018 aktualisiert um 16:05:16 Uhr
Goto Top
Hallo,
kann man auch mit openVPN machen, gibts auch ein Tutorial.

Eigentlich (!) braucht nur der Server eine bekannte IP (die man connecten kann) die Quell-IP ist "wurscht", kann auch G2/g3/g4... sein (g2 ist dann arg trödelig)
Jeder openVPN installation kann als Client und/oder Server agieren ...du kannst eine Client-Instanz laufen lassen und gleichzeitig eine Serverinstanz (manmal nett für Wartungszwecke),

IPSec braucht mehr als einen Port , openVPN ( wie auch Cisco-VPN) basieren auf ssh und begnügen sich nit einem Port für den Tunnel , haben aber keine WindowsBordmittel.

Wähle also eine Version, die dir gefällt face-wink

Fred
129580
Lösung 129580 20.07.2018 aktualisiert um 17:24:58 Uhr
Goto Top
Hallo,

Zitat von @fredmy:
IPSec braucht mehr als einen Port , openVPN ( wie auch Cisco-VPN) basieren auf ssh und begnügen sich nit einem Port für den Tunnel , haben aber keine WindowsBordmittel.

Nope. Nutzen nicht SSH sondern SSL! face-wink

Edit:
Persönlich würde ich SSL-VPNs nur für Remote Access nehmen. Für Standortverknüpfung (Site to Site) würde ich auch ein IPSec Tunnel erstellen.

@to: Schau dir dieses Tutorial an, damit du die Grundlagen beherrscht:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Danach sollte die Einrichtung einfach sein. Zumal es zahlreiche Tutorials gibt. Auch in der OPNSense Dokumentation gibts eine ausführliche Anleitung:
https://wiki.opnsense.org/manual/how-tos/ipsec-s2s.html

Viele Grüße,
Exception
chip-monkey
chip-monkey 20.07.2018 aktualisiert um 20:43:27 Uhr
Goto Top
Hallo zusammen und Danke für die zahlreichen Antworten.

Nachdem ich mir nun einen weiteren Tag mit dem Thema um die Ohren geschlagen habe konnte ich einen kleinen Erfolg aufweisen.

Die auf dem ESXi vorinstallierte OPNsense hat mich einige Nerven gekostet, aber immerhin habe ich jetzt einen VPN Tunnel mit OpenVPN am laufen. Mit ipsec habe ich das ganze an meinem kabel-deutschland anschluss nicht ans laufen bekommen. Ich habe einen alten Rechner zur OPNsense umfunktioniert und beide verbunden über openvpn server / client SSL nach dieser Anleitung:

https://wiki.opnsense.org/manual/how-tos/sslvpn_s2s.html

Szenario:

firewall server 10.30.0.1 netz 10.30.0.0/16

firewall remote 10.30.1.1 netz 10.30.1.0/24

tunnelnetz 10.30.99.0/24

Nun verzweifel ich leider am routing.

Ich möchte gerne pings aus dem 10.30.1.0/24er netz in das 10.30.0.0/16er netz schicken können und umgekehrt.

Kann mir hierbei vielleicht jemand einen kleinen (oder größeren) Denkanstoß geben?
129580
129580 20.07.2018, aktualisiert am 21.07.2018 um 18:09:05 Uhr
Goto Top
Hallo,

ich nehme mal an, dass die OPNSense Firewall als Gateway für die Clients dient? Der OpenVPN Tunnel konnte erfolgreich aufgebaut werden?
Dann dürfte das kein Routing Problem sein, denn OPNSense bzw. OpenVPN legt die Routing Einträge für die Subnetze automatisch an.

Kannst du über die OPNSense die Gegenstelle über das OpenVPN Netz anpingen?
Firewall Regeln auf der OPNSense korrekt angelegt?
Ist die Firewall bei den Clients aktiv? Wenn ja, musst du auch dort eine Freischaltung für ICMP machen.
Was sagen die OpenVPN Logs auf der Firewall?

Edit: @ChriBo hat Recht. Hab die Netzmasken übersehen. Siehe seinen Post unten.

Viele Grüße,
Exception
ChriBo
Lösung ChriBo 21.07.2018 um 16:26:32 Uhr
Goto Top
Hi,
das kann nicht funktionieren.
10.30.1.0/24 ist in 10.30.0.0/16 enthalten; 10.30.0.0/16 geht von 10.30.0.0 bis 10.30.255.255.
Wähle entweder für das 10.30.0.0/16er Netz ein vernünftiges (kleineres Netz) z.B. 10.30.0.0/24 oder sowohl für das Tunnelnetz als auch für das remote Netz Netze ausserhalb des 10.30.0.0/16 er Bereiches. zb. 10.31.x.0/24

CH
chip-monkey
chip-monkey 23.07.2018 um 18:56:02 Uhr
Goto Top
Hallo,
oh man, ich seh den Wald vor lauter Bäumen nicht. Danke für den Hinweis. face-smile

Grüße