Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Tunnel VPN to VPN

Mitglied: itschloegl

itschloegl (Level 1) - Jetzt verbinden

23.10.2016, aktualisiert 21:30 Uhr, 1649 Aufrufe, 8 Kommentare

Guten Abend.

Folgende Problemstellung:
Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den Hauptserver im Rechenzentrum angeschlossen.
Die Standorte bauen ihre VPN zwischen einer Zyxel USG200 und pfSence auf.
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.

Mein erster Versuch war es ein Routing zu definieren, dass alle eingehenden Anfragen von IP-Kreis des Netzwerk A auf IP Kreis des Netzwerk-B umgeleitet werden.

Viele Dank im Voraus
Mitglied: LordGurke
23.10.2016 um 22:09 Uhr
Als Frage jetzt ein bisschen kurz...
Grundsätzlich ist der Gedanke korrekt, dass jeder Standort möglichst sein eigenes IP-Netz hat, dann kann man das ganz geschmeidig auf der pfSense untereinander routen.
Bitte warten ..
Mitglied: sk
23.10.2016 um 22:44 Uhr
Um wieviele Standorte geht es und wie sieht das IP-Adress-Schema aus?
Bitte warten ..
Mitglied: ChriBo
24.10.2016 um 08:47 Uhr
Hi,
Jetzt möchte ich einrichten, dass man aus jedem Netzwerk über den Hauptserver(also pfSence) auf das andere Netzwerk zugreifen kann.
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.#
-
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.
Mit OpenVPN ist es umsetzbar.

Gruß
Christoph
Bitte warten ..
Mitglied: sk
24.10.2016, aktualisiert um 17:48 Uhr
Zitat von ChriBo:
Ich verstehe es so, daß du eine Hub and Spoke Konfiguration bauen willst.
Ist mit der pfSense und IPsec bis Version 2.2.x nicht möglich.
ob es mit Version 2.3.x oder späteren Versionen möglich ist, weiß ich nicht, ich habe es nicht weiter verfolgt und getestet.

Kurzes googeln ergab tatsächlich einige Threads, die dies nahelegen. Auch wenn wir pfSense hier immer nur zur reinen Paketfilterung - nie als VPN-Gateway - genutzt haben, erscheint mir dies in dieser Absolutheit aber eher zweifelhaft.
Gesichert erscheint, dass man mit pfSense - anders als bei den USGs in den Aussenstellen - keinen Traffic zwangsweise per Route in den IPSec-Tunnel schieben kann, der nicht Teil der Phase2-SA ist. Oder anders ausgedrückt: die pfSense kann kein routebased IPSec-VPN, sondern arbeitet diesbezüglich nur policybased.
Dies heisst aber gleichsam nicht zwangsläufig, dass eine pfSense nicht doch als Hub in einer IPSec-Hub-and-Spoke-Konfiguration fungieren kann. Man muss vermutlich lediglich die IPSec-Parameter (Phase2) so konfigurieren, dass sie sämtliche beteiligten IP-Netze erfasst. Das ging bisher noch bei jedem IPSec-Gateway - selbst bei einer Fritzbox. Siehe z.B. https://www.administrator.de/forum/ping-mehrere-vpn-tunnel-258777.html
Gemäß dieses Threads scheint dies auch mit einer pfSense zu funktionieren: https://forum.pfsense.org/index.php?topic=69203.0
Freilich ist dies etwas "unhandlich" bei vielen Standorten und/oder bei einem undurchdachten IP-Adress-Design. Deshalb fragte ich gezielt hiernach. Unter Umständen wäre es sinnvoller, die pfSense der Zentrale ebenfalls durch eine Zywall USG zu ersetzen. Diese kann das gewünschte Szenario problemlos "routebased" abbilden.

Gruß
sk
Bitte warten ..
Mitglied: itschloegl
24.10.2016, aktualisiert um 19:40 Uhr
Alloha zusammen,

IP-Strucktur:

Servernetz (PFSense): 192.168.1.0/24
Netz 1: 10.7.64.0/24
Netz 2: 10.7.80.0/24
Netz 3: 10.7.112.0/24
In Netz 1 bis 3 regelt eine ZyXEL USG die VPN.

Wenn ich nun von Netz 1 auf Netz 2 möchte, folgender Gedankengang:
1. Routing auf die ZyXEL USGs jezweils andere IP-Kreise (Netz 1/2/3: 10.7.0.0/16 - Gateway 192.168.1.1 (PFSense)
2. Routing in der PFSense ??



VG
Christian


PS: Die Links werde ich mir gleich mal anschauen.
Bitte warten ..
Mitglied: itschloegl
24.10.2016 um 19:51 Uhr
EDIT:

Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?
Bitte warten ..
Mitglied: itschloegl
24.10.2016, aktualisiert um 20:24 Uhr
EDIT2:

DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...

Allerdings verstehe ich nicht wie ich das verwirklichen soll:

Regular static routing doesn't work with IPsec tunnels due to the way it is hooked to the system kernel.
In order to achieve this, you need to create an additional Phase2 on A and B, with "remote network" set as the opposite site subnet

Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?
Bitte warten ..
Mitglied: sk
24.10.2016, aktualisiert um 22:07 Uhr
Zitat von itschloegl:
EDIT:
Zu 1.: Nehme ich da Static Routing mit Gateway oder Policy Routing mit Next-Hop VPN?

Auf den Zywalls? Da würde man es normalerweise per Policy-Routing regeln. Da die pfSense das aber nicht unterstützt, musst Du Dich nach der pfSense richten.


Zitat von itschloegl:
EDIT2:
DAS (https://forum.pfsense.org/index.php?topic=69203.0) ist genau mein Szenario...
...
Ich mache also in der PFSense pro VPN mehrere Phase2 Einträge?

Ja. Aufgrund dessen, dass bei Dir die Zentrale und die Außenstellen nicht in einem aggregierbaren IP-Adresskreis liegen, benötigst Du auf der pfSense pro Außenstelle mind. eine zusätzliche Phase2-Policy. Selbiges gilt dann leider auch für die USGs in den Außenstellen.
Sofern die pfSense damit klarkommt, dass local Net und remote Net überlappen, dann könntest Du per Supernetting aber immerhin pro Außenstelle mit nur einer zusätzlichen Tunneldefinition auskommen.

Beispiel USG_Netz_1 nach pfSense:
- local Net = 10.7.64.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)

Beispiel pfSense nach USG_Netz_1:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.64.0/24

Beispiel USG_Netz_2 nach pfSense:
- local Net = 10.7.80.0/24
- remote Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)

Beispiel pfSense nach USG_Netz_2:
- local Net = 10.7.64.0/18 (=10.7.64.0 - 10.7.127.255)
- remote Net = 10.7.80.0/24

Netz 3 analog.

Wie Du siehst, war es ungünstig, der Zentrale eine 192er Adresse zu geben. Leg sie in einen 10.7er Bereich und Du musst keine zusätzlichen Phase2-Policies anlegen, sondern lediglich die bestehenden anpassen. Wie gesagt: Unter dem Vorbehalt, dass die pfSense damit klar kommt und wie angenommen "tickt"...

Gruß
sk
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN Tunnel aufbauen
gelöst Frage von Hajo2006LAN, WAN, Wireless16 Kommentare

Hallo, also ich habe mal eine Frage. Ich möchte gerne einen VPN-Tunnel aufbauen. Doch das Problem was sich stellt ...

LAN, WAN, Wireless
RDP über VPN-Tunnel
Frage von FFSephirothLAN, WAN, Wireless16 Kommentare

Servus zusammen, ganz kurze Frage: Welche Einstellungen muss ich in der WIN 10 Firewall ändern, damit ich RDP über ...

Switche und Hubs
VPN Router (client) VPN Tunnel Bauen
Frage von fundave3Switche und Hubs26 Kommentare

Hallo zusammen, ich habe mir ma wieder ein Projekt ageschafft. Da ich einen Server gemietet habe und nur ungern ...

LAN, WAN, Wireless
Mehrere VLANs, ein VPN Tunnel
gelöst Frage von NoxrideeLAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich bin kein Profi auf dem Gebiet allerdings konnte ich mir mittlerweile schon bissel was über VPN ...

Neue Wissensbeiträge
Humor (lol)

Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!

Tipp von Snowbird vor 17 StundenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 2 TagenViren und Trojaner5 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Heiß diskutierte Inhalte
Hyper-V
Bei Neuaufbau auf Core-Server setzen?
gelöst Frage von dertowaHyper-V33 Kommentare

Hallo zusammen, ich habe vor einigen Monaten die Verantwortung für eine EDV-Landschaft übernommen die seit Jahren von einem Dienstleister ...

Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
Frage von imebroRouter & Routing17 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...