Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Tunnel VPN to VPN

Mitglied: itschloegl

itschloegl (Level 1) - Jetzt verbinden

23.10.2016, aktualisiert 21:30 Uhr, 3048 Aufrufe, 8 Kommentare

Guten Abend.

Folgende Problemstellung:
Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den Hauptserver im Rechenzentrum angeschlossen.
Die Standorte bauen ihre VPN zwischen einer Zyxel USG200 und pfSence auf.
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.

Mein erster Versuch war es ein Routing zu definieren, dass alle eingehenden Anfragen von IP-Kreis des Netzwerk A auf IP Kreis des Netzwerk-B umgeleitet werden.

Viele Dank im Voraus
Mitglied: LordGurke
23.10.2016 um 22:09 Uhr
Als Frage jetzt ein bisschen kurz...
Grundsätzlich ist der Gedanke korrekt, dass jeder Standort möglichst sein eigenes IP-Netz hat, dann kann man das ganz geschmeidig auf der pfSense untereinander routen.
Bitte warten ..
Mitglied: sk
23.10.2016 um 22:44 Uhr
Um wieviele Standorte geht es und wie sieht das IP-Adress-Schema aus?
Bitte warten ..
Mitglied: ChriBo
24.10.2016 um 08:47 Uhr
Hi,
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.#
-
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.
Mit OpenVPN ist es umsetzbar.

Gruß
Christoph
Bitte warten ..
Mitglied: sk
24.10.2016, aktualisiert um 17:48 Uhr
Zitat von ChriBo:
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.

Kurzes googeln ergab tatsächlich einige Threads, die dies nahelegen. Auch wenn wir pfSense hier immer nur zur reinen Paketfilterung - nie als VPN-Gateway - genutzt haben, erscheint mir dies in dieser Absolutheit aber eher zweifelhaft.
Gesichert erscheint, dass man mit pfSense - anders als bei den USGs in den Aussenstellen - keinen Traffic zwangsweise per Route in den IPSec-Tunnel schieben kann, der nicht Teil der Phase2-SA ist. Oder anders ausgedrückt: die pfSense kann kein routebased IPSec-VPN, sondern arbeitet diesbezüglich nur policybased.
Dies heisst aber gleichsam nicht zwangsläufig, dass eine pfSense nicht doch als Hub in einer IPSec-Hub-and-Spoke-Konfiguration fungieren kann. Man muss vermutlich lediglich die IPSec-Parameter (Phase2) so konfigurieren, dass sie sämtliche beteiligten IP-Netze erfasst. Das ging bisher noch bei jedem IPSec-Gateway - selbst bei einer Fritzbox. Siehe z.B. https://www.administrator.de/forum/ping-mehrere-vpn-tunnel-258777.html
Gemäß dieses Threads scheint dies auch mit einer pfSense zu funktionieren: https://forum.pfsense.org/index.php?topic=69203.0
Freilich ist dies etwas "unhandlich" bei vielen Standorten und/oder bei einem undurchdachten IP-Adress-Design. Deshalb fragte ich gezielt hiernach. Unter Umständen wäre es sinnvoller, die pfSense der Zentrale ebenfalls durch eine Zywall USG zu ersetzen. Diese kann das gewünschte Szenario problemlos "routebased" abbilden.

Gruß
sk
Bitte warten ..
Mitglied: itschloegl
24.10.2016, aktualisiert um 19:40 Uhr
Alloha zusammen,

IP-Strucktur:

Servernetz (PFSense): 192.168.1.0/24
Netz 1: 10.7.64.0/24
Netz 2: 10.7.80.0/24
Netz 3: 10.7.112.0/24
In Netz 1 bis 3 regelt eine ZyXEL USG die VPN.

Wenn ich nun von Netz 1 auf Netz 2 möchte, folgender Gedankengang:
1. Routing auf die ZyXEL USGs jezweils andere IP-Kreise (Netz 1/2/3: 10.7.0.0/16 - Gateway 192.168.1.1 (PFSense)
2. Routing in der PFSense ??



VG
Christian


PS: Die Links werde ich mir gleich mal anschauen.
Bitte warten ..
Mitglied: itschloegl
24.10.2016 um 19:51 Uhr
EDIT:

Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?
Bitte warten ..
Mitglied: itschloegl
24.10.2016, aktualisiert um 20:24 Uhr
EDIT2:

DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...

Allerdings verstehe ich nicht wie ich das verwirklichen soll:

Regular static routing doesn't work with IPsec tunnels due to the way it is hooked to the system kernel.
In order to achieve this, you need to create an additional Phase2 on A and B, with "remote network" set as the opposite site subnet

Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?
Bitte warten ..
Mitglied: sk
24.10.2016, aktualisiert um 22:07 Uhr
Zitat von itschloegl:
EDIT:
Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?

Auf den Zywalls? Da würde man es normalerweise per Policy-Routing regeln. Da die pfSense das aber nicht unterstützt, musst Du Dich nach der pfSense richten.


Zitat von itschloegl:
EDIT2:
DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...
...
Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?

Ja. Aufgrund dessen, dass bei Dir die Zentrale und die Außenstellen nicht in einem aggregierbaren IP-Adresskreis liegen, benötigst Du auf der pfSense pro Außenstelle mind. eine zusätzliche Phase2-Policy. Selbiges gilt dann leider auch für die USGs in den Außenstellen.
Sofern die pfSense damit klarkommt, dass local Net und remote Net überlappen, dann könntest Du per Supernetting aber immerhin pro Außenstelle mit nur einer zusätzlichen Tunneldefinition auskommen.

Beispiel USG_Netz_1 nach pfSense:
- local Net = 10.7.64.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)

Beispiel pfSense nach USG_Netz_1:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.64.0/24

Beispiel USG_Netz_2 nach pfSense:
- local Net = 10.7.80.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)

Beispiel pfSense nach USG_Netz_2:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.80.0/24

Netz 3 analog.

Wie Du siehst, war es ungünstig, der Zentrale eine 192er Adresse zu geben. Leg sie in einen 10.7er Bereich und Du musst keine zusätzlichen Phase2-Policies anlegen, sondern lediglich die bestehenden anpassen. Wie gesagt: Unter dem Vorbehalt, dass die pfSense damit klar kommt und wie angenommen "tickt"...

Gruß
sk
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN Tunnel aufbauen
gelöst Frage von Hajo2006LAN, WAN, Wireless16 Kommentare

Hallo, also ich habe mal eine Frage. Ich möchte gerne einen VPN-Tunnel aufbauen. Doch das Problem was sich stellt ...

Windows Server
VPN-Tunnel + RDP Client
Frage von ZeppelinWindows Server10 Kommentare

Hallo Community, ich bin auf der Suche nach einer speziellen Softwarelösung und vielleicht kann mir da jemand von euch ...

LAN, WAN, Wireless
RDP über VPN-Tunnel
Frage von FFSephirothLAN, WAN, Wireless16 Kommentare

Servus zusammen, ganz kurze Frage: Welche Einstellungen muss ich in der WIN 10 Firewall ändern, damit ich RDP über ...

LAN, WAN, Wireless
Mehrere VLANs, ein VPN Tunnel
gelöst Frage von NoxrideeLAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN ...

Neue Wissensbeiträge
Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 10 StundenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 2 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 3 TagenOff Topic6 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 4 TagenRouter & Routing19 Kommentare

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Heiß diskutierte Inhalte
Windows 10
MSI-Packager ähnlich zu Scalable Smartpackager gesucht
Frage von DerWoWussteWindows 1023 Kommentare

Ich grüße Euch. Kennt jemand Software <100€ oder Freeware, die so simpel funktioniert wie WinInstall LE/Smart packager von Scalable? ...

Windows Server
Server 2012R2 Probleme mit Internet
Frage von NordsterneWindows Server17 Kommentare

Hallo zusammen, ich habe folgendes Problem: Server 2012R2 verbunden über Netzwerkkabel. Die IP ist statisch eingestellt. Gateway ist die ...

SAN, NAS, DAS
NAS mit interner RDX-Aufnahme
Frage von keine-ahnungSAN, NAS, DAS16 Kommentare

Moin at all, offenbar habe ich nur das "for free google" freigeschalten ich bin auf der Suche nach einem ...

Windows Netzwerk
Probleme beim Routing zwischen VLAN-Netzen durch Windows Firewall
gelöst Frage von ByteCraftWindows Netzwerk16 Kommentare

Hallo zusammen, ich sitze nun schon den zweiten Tag an meinem Problem. Die Situation ist wie folgt: Ich habe ...