pixi123
Goto Top

Vpn client und server, 2. router, diverse Fragen

Hallo!
Stehe mit meinen Überlegungen ganz am Anfang, also bitte nicht den Kopf abreissen, wenn ich irgendwo noch einen Blödsinn schreibe.

Ich habe im Moment folgendes Setup:
Internetmodem -》pfsense (apu2) -》mikrotik-switch (layer3 routing zw. vlans).
Alles was intranet-mässig passiert, läuft also nur bis mikrotik, der 10gb hat und muss nicht erst zum pfsense gateway. Pfsense hat statische Routen in die vlans und alle firewall-Regeln was den Verkehr ins Internet betrifft. In der mikrotik firewall regle ich den Verkehr zw. den Vlans. Funktioniert alles bestens.

Nun will ich eine openvpn server für Fernzugriff und eine openvpn client für perfect privacy einrichten.
Folgender Plan: der apu wird durch einen performanteren ipu675 (nrg systems) abgelöst, wieder pfsense. Den openvpn server lasse ich darauf laufen.
Für den openvpn client will ich einen eigenen Router, entweder den abgelösten apu2 oder einen linksys wrt3200acm (ist vorhanden).
Ich überlege jetzt die ganze Zeit, wo ich diesen 2. vpnclient-Router positioniere:
a.) eigenes subnet an der pfsense opt1 machen.
b.) In ein vlan am mikrotik.
c.) In ein transfer netz zwischen pfsense und mikrotik.
Was ist da die beste Lösung?

Oder, um eine ganz anderen Ansatz zu verfolgen:
Apu bleibt pfsense gateway. An opt1 kommt ein neues subnet mit dem ipu675, der mitt dem anderen Bein mit dem mikrotik verbunden ist und am mikrotik eine statische Route zu dem ipu, auf dem dann vpn server und client zusammen läuft.

Generell auch die Frage, ob man am pfsense gateway (egal welche Konstellation) besser mit vlans statt der einfachen subnets arbeitet. Im Moment ist das transfer netz zwischen pfsense und mikrotik kein vlan, ei fach nur ein subnet.

Bzgl Router für vpn:
Wenn der wrt3200acm der Vpn-client router sein sollte: was am besten flashen: openwrt, dd-wrt für reinen openvpn client?
Wenn der apu den openvpn client machen sollte: pfsense, openwrt, dd-wrt als Betriebssystem?
Selbe Frage für ipu674, der aber vpn client und server gleichzeitig wäre: pfsense, openwrt?

Danke für eure Hilfe.
Lg Pixi

Content-Key: 606556

Url: https://administrator.de/contentid/606556

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: BirdyB
BirdyB 21.09.2020 um 21:06:35 Uhr
Goto Top
Moin,
für wieviele User soll das Ganze denn sein?
VG
Mitglied: Pixi123
Pixi123 24.09.2020 um 09:38:31 Uhr
Goto Top
vorab: es geht hier um mein Heimnetz.

der vpn client soll für ca 5-10 Geräte zuständig sein bzw. deren traffic ggf. über perfect privacy leiten.

Habe mittlerweile ein bisschen überlegt und ich glaube, die beste Lösung ist:
- vlan "vpnclient" erstellen.
- den vpn client router (entweder apu2 oder wrt3200acm) in dieses vlan "vpnclient" stellen und als gateway definieren.
- das wan-bei des vpn-routers in das transfersubnet, das von mikrotik zur pfsense geht.
Mitglied: BirdyB
BirdyB 24.09.2020 um 09:49:04 Uhr
Goto Top
Fürs Heimnetz wirkt dein Initialkonstrukt recht wirr und oversized... Die APU2 sollte das gut bewerkstelligen können, da braucht es kein weiteres Device.
Lass doch die pfSense den VPN-Kram machen. Wozu jetzt noch ein weiteres Gerät?
Mitglied: Pixi123
Pixi123 24.09.2020 um 12:02:27 Uhr
Goto Top
oversized ist das alles, weiss ich. mein Heimnetz ist aber auch meine Test- und Lernumgebung und ich bastle da gerne dran rum, auch um neues zu lernen.
auf der pfsense mache ich den vpn server für remote zugriff aufs heimnetz (so wie ich es früher mal mit einer fritzbox hatte, nur eben jetzt mit openvpn).

der vpn client soll nur für ein vlan zuständig sein, wenn ich das auf dem hauptrouter einrichte, dann geht ja alles über den vpn client. deswegen 2. router.
als hauptrouter habe ich bereits einen ipu675 mit i7 cpu. als 2. router kann nun entweder der alte apu2 oder ein wrt3200acm verwendet werden.
Mitglied: BirdyB
BirdyB 24.09.2020 um 15:23:47 Uhr
Goto Top
Zitat von @Pixi123:
der vpn client soll nur für ein vlan zuständig sein, wenn ich das auf dem hauptrouter einrichte, dann geht ja alles über den vpn client. deswegen 2. router.
Das ist ja quatsch... Du kannst auch auf der pfSense einen VPN-Client einrichten und nur den Traffic aus einem VLAN darüber versenden.
als hauptrouter habe ich bereits einen ipu675 mit i7 cpu. als 2. router kann nun entweder der alte apu2 oder ein wrt3200acm verwendet werden.
Rein technisch gesehen eine überflüssige Investition. Aber wenn du meinst...