47
VPN Frage zur Machbarkeit
Ich bin auf der Suche nach einer Hardware Lösung, die ich vor einem Router installieren kann und die bei Aufruf einer bestimmten IP eines angeschlossenen PCs eine vorher eingerichtete VPN Verbindung zu dieser IP aufbaut. Der restliche Datenverkehr soll in meinem Netz bleiben.
Gibt es eine solche Hardware?
dasgunn
Gibt es eine solche Hardware?
dasgunn
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185841
Url: https://administrator.de/contentid/185841
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
47 Kommentare
Neuester Kommentar
ähm....also ich hab Deine Frage jetzt bestimmt schon 5x gelesen, aber ich komm immer noch nicht dahinter was Du meinst.
Kannst Du das näher erklären???
Kannst Du das näher erklären???
Ok. Ich suche nach einer Lösung für folgendes Szenario:
Ich sitze am PC und rufe zum Beispiel am Browser ein bestimmte Adresse auf. Jetzt soll ein Gerät, welches in meinem Netzwerk ist, eine VPN Verbindung aufbauen, zum Beispiel zu einen Windows Server 2008 R2, der als VPN Server agiert und in meiner Firma steht.
Oder Alternativ suche ich nach einer Lösung, die es mir erlaubt meinen PC in eine entfernte Domain zu hängen, mit einer verschlüsselten Verbindung über das Internet. Als Endpunkt dient hier wieder ein Windows Server 2008 R2.
Zusatz:
Sämtlicher andere Datenverkehr soll nicht über den Tunnel gehen und die Bandbreite der Internetverbindung ist kein Thema.
Ich sitze am PC und rufe zum Beispiel am Browser ein bestimmte Adresse auf. Jetzt soll ein Gerät, welches in meinem Netzwerk ist, eine VPN Verbindung aufbauen, zum Beispiel zu einen Windows Server 2008 R2, der als VPN Server agiert und in meiner Firma steht.
Oder Alternativ suche ich nach einer Lösung, die es mir erlaubt meinen PC in eine entfernte Domain zu hängen, mit einer verschlüsselten Verbindung über das Internet. Als Endpunkt dient hier wieder ein Windows Server 2008 R2.
Zusatz:
Sämtlicher andere Datenverkehr soll nicht über den Tunnel gehen und die Bandbreite der Internetverbindung ist kein Thema.
Was für Router verwendest Du? Die Variante 2 ist relativ simpel zu lösen. Entweder als Einwahllösung auf den entfernten Router oder als permanente VPN Verbindung zwischen den Routern (sofern gewünscht).
Der restliche Datenverkehr bleibt ausserhalb des Tunnels, lediglich der Zugriff auf den entfernten Server geht über den Tunnel.
Der restliche Datenverkehr bleibt ausserhalb des Tunnels, lediglich der Zugriff auf den entfernten Server geht über den Tunnel.
Bei den Clients stehen aktuell entweder eine Fritz!Box 7390 oder eine Fritz!Box Cable an einem KD 100 MBit Anschluß.
Der Server (Windows Server 2008 R2) steht in einem Rechenzentrum und dient sozusagen als Gateway bzw. als VPN Endpunkt und dementsprechend gibt es hier keine Möglichkeit ein Gerät zu installieren.
Der Server (Windows Server 2008 R2) steht in einem Rechenzentrum und dient sozusagen als Gateway bzw. als VPN Endpunkt und dementsprechend gibt es hier keine Möglichkeit ein Gerät zu installieren.
moin,
Eine Möglichkeit ohne an der Hardware was zu schrauben:
Auf dem Client selbst einen VPN-Client installieren, der die Verbindugn automatisch aufbaut. Dann brauchst Du die AVM-Gurken mit ihren eingeschränkten Möglichkeiten nicht zu vergewaltigen.
Ich würde einfach (edit: ) openVPN auf den Server klatschen und mit den passenden Clients die Verbindung aufbauen: schnell, einfach, sicher.
Alternativ könntest Du Dich natürlich mit IPSEC zwischen dem W2K8 und den Fritzboxen selbst quälen. Das ist aber dann schon Selbstkasteiung.
Oder Du suchst Dir Router, die von Haus aus VPN-verbindungen zu W2K8 ermöglichen.
lks
PS:
PPTP Will ich Dir gar nicht erst vorschlagen, weil das nur eine Notlösung im allerschlimmsten Fall wäre.
Eine Möglichkeit ohne an der Hardware was zu schrauben:
Auf dem Client selbst einen VPN-Client installieren, der die Verbindugn automatisch aufbaut. Dann brauchst Du die AVM-Gurken mit ihren eingeschränkten Möglichkeiten nicht zu vergewaltigen.
Ich würde einfach (edit: ) openVPN auf den Server klatschen und mit den passenden Clients die Verbindung aufbauen: schnell, einfach, sicher.
Alternativ könntest Du Dich natürlich mit IPSEC zwischen dem W2K8 und den Fritzboxen selbst quälen. Das ist aber dann schon Selbstkasteiung.
Oder Du suchst Dir Router, die von Haus aus VPN-verbindungen zu W2K8 ermöglichen.
lks
PS:
PPTP Will ich Dir gar nicht erst vorschlagen, weil das nur eine Notlösung im allerschlimmsten Fall wäre.
Jede kleinen Firewall kann sowas im Handumdrehen umsetzen in Verbindung mit IP Access Listen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hallo,
wie aqui schon sagte das geht mit leden kleinen Firewal mit ACL's.
Was ich nur nicht begriffen habe ist der Sinn...
Eigentlich ein ganz ordinärer VPN Tunnel, aber irgendwie macht mich deine Erläuterung Skeptisch...
brammer
wie aqui schon sagte das geht mit leden kleinen Firewal mit ACL's.
Was ich nur nicht begriffen habe ist der Sinn...
Eigentlich ein ganz ordinärer VPN Tunnel, aber irgendwie macht mich deine Erläuterung Skeptisch...
brammer
Hallo und vielen Dank für die Antworten.
Ich möchte keine Software Lösung auf der Seite der Clients und eine Firewall selber bauen möchte ich auch nicht.
Vielmehr wäre mein Traum, dass ich von einem PC zu Hause zeitgleich zwei oder mehr VPN Tunnel zu unterschiedlichen VPN Endpunkten aufbauen kann, ohne zusätzliche Software auf dem PC. Wenn nur ein Endpunkt zu einer Zeit möglich ist, dann wäre es ok, aber dann muß das Gerät die Verbindungen auch selber managen können. Das soll heißen, ich kann mehrere Verbindungen eintragen und das Gerät baut selbständig die Verbindung auf und schließt ggf. wieder.
Wie das nur mit einer Access List und einer Firewall gehen soll ist mir aktuell noch schleierhaft. Ich muß doch dem Gerät mindestens irgendwo einen Key oder ein Zertifikat mitgeben können.
Ich benötige hierfür Vorschläge für Geräte. Habt Ihr Ideen? Denke ich zu umständlich?
Ich möchte keine Software Lösung auf der Seite der Clients und eine Firewall selber bauen möchte ich auch nicht.
Vielmehr wäre mein Traum, dass ich von einem PC zu Hause zeitgleich zwei oder mehr VPN Tunnel zu unterschiedlichen VPN Endpunkten aufbauen kann, ohne zusätzliche Software auf dem PC. Wenn nur ein Endpunkt zu einer Zeit möglich ist, dann wäre es ok, aber dann muß das Gerät die Verbindungen auch selber managen können. Das soll heißen, ich kann mehrere Verbindungen eintragen und das Gerät baut selbständig die Verbindung auf und schließt ggf. wieder.
Wie das nur mit einer Access List und einer Firewall gehen soll ist mir aktuell noch schleierhaft. Ich muß doch dem Gerät mindestens irgendwo einen Key oder ein Zertifikat mitgeben können.
Ich benötige hierfür Vorschläge für Geräte. Habt Ihr Ideen? Denke ich zu umständlich?
Du musst nix bauen und kannst all diese Firewalls und Router einfach fertig kaufen ! Steht auch alles so im Tutorial wenn man sich denn mal die Mühe macht und liest ! 
http://shop.varia-store.com/product_info.php?info=p886_pfSense-Komplett ...
Entsprechende Router findest du bei z.B. bei Draytek:
http://www.draytek.de/produkte.html
Für das was du vorhast ist aber ein FW in jedem Falle die technisch bessere Wahl da sie deinen Vorgaben erheblich einfacher und schneller umsetzen kann als ein Router !!
Diese FW hat einen PPTP VPN Server an Bord und im PPTP Tutorial
VPNs einrichten mit PPTP
bzw.
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
ist ganz genau erklärt WIE man sowas mit 3 Mausklicks einrichtet.
Jeder PC heutzutage ob Winblows, Mac OS-X, Linux und alle gängigen Smartphones Android und iOS haben heute per Default einen PPTP VPN Client mit an Bord mit dem du so vile VPN verbindungen aufbauen kannst wie du lustig bist.
Die o.a. Firewall und auch alle gängigen VPN Router wie Draytek, Mikrotik haben die Möglichkeit einer dedizierten IP Accessliste auf dem lokalen LAN Interface. Da kannst du dann mit ein paar Mausklicks ganz genau bestimmen WER dann WELCHE Applikation benutzen darf und wer nicht.
Das ganze ist kinderleicht über ein WebGUI konfigurierbar mit einem Klicki Bunti Interface so das auch Nichtbastler und blutige laien schnell zu einem umfassenden Erfolgserlebnis kommen.
http://shop.varia-store.com/product_info.php?info=p886_pfSense-Komplett ...
Entsprechende Router findest du bei z.B. bei Draytek:
http://www.draytek.de/produkte.html
Für das was du vorhast ist aber ein FW in jedem Falle die technisch bessere Wahl da sie deinen Vorgaben erheblich einfacher und schneller umsetzen kann als ein Router !!
Diese FW hat einen PPTP VPN Server an Bord und im PPTP Tutorial
VPNs einrichten mit PPTP
bzw.
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
ist ganz genau erklärt WIE man sowas mit 3 Mausklicks einrichtet.
Jeder PC heutzutage ob Winblows, Mac OS-X, Linux und alle gängigen Smartphones Android und iOS haben heute per Default einen PPTP VPN Client mit an Bord mit dem du so vile VPN verbindungen aufbauen kannst wie du lustig bist.
Die o.a. Firewall und auch alle gängigen VPN Router wie Draytek, Mikrotik haben die Möglichkeit einer dedizierten IP Accessliste auf dem lokalen LAN Interface. Da kannst du dann mit ein paar Mausklicks ganz genau bestimmen WER dann WELCHE Applikation benutzen darf und wer nicht.
Das ganze ist kinderleicht über ein WebGUI konfigurierbar mit einem Klicki Bunti Interface so das auch Nichtbastler und blutige laien schnell zu einem umfassenden Erfolgserlebnis kommen.
Hallo aqui,
vielen Dank für deine Ausführungen. Ich habe das Tutorial nur "quer" gelesen und nicht gleich das entdeckt, was ich benötigte. Sorry!
Mit deinen jetzigen Ausführungen komme ich besser zurecht.
Das Gerät von pfSense (ja ich weiß es ist das Gerät aus dem ersten Tutorial) scheint die Lösung zu bieten, die ich suche. Bei Fragen melde ich mich wieder.
Vielen Dank!
vielen Dank für deine Ausführungen. Ich habe das Tutorial nur "quer" gelesen und nicht gleich das entdeckt, was ich benötigte. Sorry!
Mit deinen jetzigen Ausführungen komme ich besser zurecht.
Das Gerät von pfSense (ja ich weiß es ist das Gerät aus dem ersten Tutorial) scheint die Lösung zu bieten, die ich suche. Bei Fragen melde ich mich wieder.
Vielen Dank!
Hallo,
ich habe nun die pfSense getestet und mir ist es nicht gelungen pfsense als Client für eine PPTP VPN Verbindung zu konfigurieren. Das scheint einfach nicht zu gehen.
hat jemand eine Idee? Ich möchte die pfSense (Alix) als Client für eine VPN Verbindnug zu einem Windows Server 2008 R2 nutzen. OpenVPN fällt meines Wissens nach aus, da es im Nachgang vieleicht Schwierigkeiten gibt mit dem AD.
Danke!
ich habe nun die pfSense getestet und mir ist es nicht gelungen pfsense als Client für eine PPTP VPN Verbindung zu konfigurieren. Das scheint einfach nicht zu gehen.
hat jemand eine Idee? Ich möchte die pfSense (Alix) als Client für eine VPN Verbindnug zu einem Windows Server 2008 R2 nutzen. OpenVPN fällt meines Wissens nach aus, da es im Nachgang vieleicht Schwierigkeiten gibt mit dem AD.
Danke!
Nun, Wenn schon Fritzboxen im Einsatz sind kann man das auch direkt darüber lösen - müsste man zmndst. - Auch, wenn ich das im prof. Bereich nicht zumuten würden - hier scheinte es aber nur um eine Soho Lösung zu gehen. Shrewsoft VPN + ein skript zum check ob die verbidnung offen ist + etwas gefrickel (Openvpn ist eben linux) und das Ding rennt. VG
@dasgunn
Eigentlich ist das Einrichten des pfSense PPTP Clients ein Kinderspiel was mit 3 Mausklicks erledigt ist. Sogar völlige Laien bekommen das in 10 Minuten erledigt.
Ziemlich unverständlich WAS du da falsch machst.
Man kann nur vermuten das du wie so oft die FW Zugriffsregeln des VPN Interfaces vergessen hast einzurichten. Aber fangen wir mal nicht wild an zu raten, das führt zu nix !
Leider gibst du uns keinerlei Chance dir hier zielgerichtet zum Erfolg zu helfen, denn du schaffst es nicht wenigstens ansatzweise mal dein Vorgehen zu beschreiben und auch Log Melldungen hier zu posten.
Von den Screenshots der PPTP Client Einrichtung auf der pfSense einmal ganz zu schweigen.
Auch dir sollte vermutlich klar sein das mit solch einer oberflächlichen Fehlerbeschreibung eine wirkliche Hilfestellung quasi unmöglich ist !!
Auch dein Ansinnen mit OpenVPN und einer AD Beeinflussung ist völliger Blödsinn und dem fehlt jegliche technische Grundlage. Stellt sich die Frage wo du solch einen Unsinn her hast....aber egal !
Wenn dir also an einer Problemlösung wirklich gelegen ist musst du uns hier schon en paar mehr Informationen liefern !
Eigentlich ist das Einrichten des pfSense PPTP Clients ein Kinderspiel was mit 3 Mausklicks erledigt ist. Sogar völlige Laien bekommen das in 10 Minuten erledigt.
Ziemlich unverständlich WAS du da falsch machst.
Man kann nur vermuten das du wie so oft die FW Zugriffsregeln des VPN Interfaces vergessen hast einzurichten. Aber fangen wir mal nicht wild an zu raten, das führt zu nix !
Leider gibst du uns keinerlei Chance dir hier zielgerichtet zum Erfolg zu helfen, denn du schaffst es nicht wenigstens ansatzweise mal dein Vorgehen zu beschreiben und auch Log Melldungen hier zu posten.
Von den Screenshots der PPTP Client Einrichtung auf der pfSense einmal ganz zu schweigen.
Auch dir sollte vermutlich klar sein das mit solch einer oberflächlichen Fehlerbeschreibung eine wirkliche Hilfestellung quasi unmöglich ist !!
Auch dein Ansinnen mit OpenVPN und einer AD Beeinflussung ist völliger Blödsinn und dem fehlt jegliche technische Grundlage. Stellt sich die Frage wo du solch einen Unsinn her hast....aber egal !
Wenn dir also an einer Problemlösung wirklich gelegen ist musst du uns hier schon en paar mehr Informationen liefern !
Hallo und vielen Dank für Eure Beiträge.
@aqui
ich gebe zu das ich in Sachen Unix nicht ganz so bewandert bin, aber ich kann lesen. In dem Buch zu pfSense steht ausdrücklich, dass pfSense nicht als PPTP VPN Client genutzt werden kann.
Die PPTP Einstellung unter dem Menüpunkt VPN dient als Server Einstellung und die Einstellungen unter dem Menüpunkt der WAN Schnittstelle dienen der Einwahl bei einem ISP.
Aus diesem Grund kann ich auch keine Fehler Logs oder dergleichen posten, da es die benötigte Einstellungsmöglichkeit nicht gibt.
Also suche ich nach anderen Lösungen, da ich auch gelesen habe, dass L2TP mit IPSec nicht funktionieren soll, ist ein Bug, der in der nächsten Version (2.1) behoben werden soll (ist zumindest angestrebt).
Ich bin froh hier Hilfe zu finden, obgleich wir manchmal anscheinend aneinander vorbei kommunizieren.
OpenVPN möchte ich nicht nutzen, da es eine weitere Fehlerquelle auf dem Server bedeuten kann. Es muß doch eine relativ einfache Möglichkeit geben eine VPN Verbindung mit pfSense als Client zu einem Windows Server 2008 R2 als Endpunkt (Server) herzustellen. Auf dem Server ist Routing und RAS installiert und aktuell auf PPTP eingestellt, da es eine einfache Einwahlmöglichkeit mit Windows 7 Clients bedeutet (mit Boardmitteln). Diese Softwarelösung auf den Clients möchte ich gern mit der pfSense ablösen.
@certifiedit
Auf der Gegenseite habe ich keine Fritz!Box sondern einen Windows Server 2008 R2 als Endpunkt. Ansonsten wäre es kein Problem eine VPN Verbindung zwischen zwei Fritz!Boxen herzustellen.
Ich hoffe auf weitere Infos und Vorschläge.
@aqui
ich gebe zu das ich in Sachen Unix nicht ganz so bewandert bin, aber ich kann lesen. In dem Buch zu pfSense steht ausdrücklich, dass pfSense nicht als PPTP VPN Client genutzt werden kann.
Die PPTP Einstellung unter dem Menüpunkt VPN dient als Server Einstellung und die Einstellungen unter dem Menüpunkt der WAN Schnittstelle dienen der Einwahl bei einem ISP.
Aus diesem Grund kann ich auch keine Fehler Logs oder dergleichen posten, da es die benötigte Einstellungsmöglichkeit nicht gibt.
Also suche ich nach anderen Lösungen, da ich auch gelesen habe, dass L2TP mit IPSec nicht funktionieren soll, ist ein Bug, der in der nächsten Version (2.1) behoben werden soll (ist zumindest angestrebt).
Ich bin froh hier Hilfe zu finden, obgleich wir manchmal anscheinend aneinander vorbei kommunizieren.
OpenVPN möchte ich nicht nutzen, da es eine weitere Fehlerquelle auf dem Server bedeuten kann. Es muß doch eine relativ einfache Möglichkeit geben eine VPN Verbindung mit pfSense als Client zu einem Windows Server 2008 R2 als Endpunkt (Server) herzustellen. Auf dem Server ist Routing und RAS installiert und aktuell auf PPTP eingestellt, da es eine einfache Einwahlmöglichkeit mit Windows 7 Clients bedeutet (mit Boardmitteln). Diese Softwarelösung auf den Clients möchte ich gern mit der pfSense ablösen.
@certifiedit
Auf der Gegenseite habe ich keine Fritz!Box sondern einen Windows Server 2008 R2 als Endpunkt. Ansonsten wäre es kein Problem eine VPN Verbindung zwischen zwei Fritz!Boxen herzustellen.
Ich hoffe auf weitere Infos und Vorschläge.
Hallo dasgunn,
wenn du auf der einen Seite eine FB hast kannst du auf der anderen (ich nehme hier an Client-Lan Netzwerk) nennen wir Netzwerk N und Host H auf N verwaltet die Fritzbox jede Kommunikation mit der client crowd - auf h musst du einmal den shrewsoft VPN client richtig konfigurieren (gibts anleitungen direkt bei avm) - und auf dem server einrichten, dass der die verbindung hält. fertig. damit hättest du, was du brauchst, wenn ich dich richtig verstanden habe...
wenn du auf der einen Seite eine FB hast kannst du auf der anderen (ich nehme hier an Client-Lan Netzwerk) nennen wir Netzwerk N und Host H auf N verwaltet die Fritzbox jede Kommunikation mit der client crowd - auf h musst du einmal den shrewsoft VPN client richtig konfigurieren (gibts anleitungen direkt bei avm) - und auf dem server einrichten, dass der die verbindung hält. fertig. damit hättest du, was du brauchst, wenn ich dich richtig verstanden habe...
Vermutlich will er aber eine LAN zu LAN Kopplung machen und da nützt Shrew natürlich recht wenig....
@dasgunn
Das ist richtig, das Monowall und pfSense nicht als PPTP Clients arbeiten können. Die Konfig sieht diese Option nicht vor, da der PPTP Client Mode nicht implementiert ist.
Lediglich der Server Modus ist möglich.
Du kannst aber immer die Rollen "umdrehen" ! Betreibe den Server als PPTP Client und lasse ihn sich einwählen auf der pfSense als Server.
Schon hast du ein funktionierendes Szenario !
Ansonsten musst du eine andere Router Firmware nehmen wie z.B. DD-WRT oder OpenWRT die lassen sich auch im PPTP Client Modus benutzen !
Siehe die entsprechenden Tutorials hier:
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Eine andere Möglichkeit hast du nicht mit PPTP
Deine Ängste zu OpenVPN sind übrigens absolut unbegründet und auch nicht nachvollziehbar.
Es ist eine Kleinigkeit das OpenVPN Gui auf den Server zu installieren und damit einen SSL VPN Tunnel zu realisieren. Das ist Millionenfacher Standard und eine wasserdichte Installation.
Die Angst vor einer "Fehlerquelle" ist daher völlig unbegründet.
@dasgunn
Das ist richtig, das Monowall und pfSense nicht als PPTP Clients arbeiten können. Die Konfig sieht diese Option nicht vor, da der PPTP Client Mode nicht implementiert ist.
Lediglich der Server Modus ist möglich.
Du kannst aber immer die Rollen "umdrehen" ! Betreibe den Server als PPTP Client und lasse ihn sich einwählen auf der pfSense als Server.
Schon hast du ein funktionierendes Szenario !
Ansonsten musst du eine andere Router Firmware nehmen wie z.B. DD-WRT oder OpenWRT die lassen sich auch im PPTP Client Modus benutzen !
Siehe die entsprechenden Tutorials hier:
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Eine andere Möglichkeit hast du nicht mit PPTP
Deine Ängste zu OpenVPN sind übrigens absolut unbegründet und auch nicht nachvollziehbar.
Es ist eine Kleinigkeit das OpenVPN Gui auf den Server zu installieren und damit einen SSL VPN Tunnel zu realisieren. Das ist Millionenfacher Standard und eine wasserdichte Installation.
Die Angst vor einer "Fehlerquelle" ist daher völlig unbegründet.
Hallo aqui,
das ist der Punkt, der kam für mich noch nicht klar heraus. Hat er einen Rootserver im Netz, dann ist das natürlich eine Client-to-Lan VPN und daher damit lösbar. Ist es ein vServer mit n-Servern (die er ALLE verbinden will...logisch, dann haben sie Recht) ein Organigram wäre nicht schlecht.
das ist der Punkt, der kam für mich noch nicht klar heraus. Hat er einen Rootserver im Netz, dann ist das natürlich eine Client-to-Lan VPN und daher damit lösbar. Ist es ein vServer mit n-Servern (die er ALLE verbinden will...logisch, dann haben sie Recht) ein Organigram wäre nicht schlecht.
Du hast Recht, da fehlt in der Tat vom TO eine etwas detailiertere Information für eine sinnvolle Hilfe.
Nundenn...an seinen Optionen oben die er mit der ihm zur Verfügung stehenden Hardware hat ändert das aber nix..
Nundenn...an seinen Optionen oben die er mit der ihm zur Verfügung stehenden Hardware hat ändert das aber nix..
Hallo an certifiedit und aqui,
vielen Dank für eure Infos.
Hier der Aufbau:
Root-Server: Windows Server 2008 R2 dient als "Tor" zu einem Konstrukt aus Root-Servern (z.B.: SQL Server, Sharepoint, TFS). Damit die nicht alle im Internet hängen müssen, sind die Server inhouse verkabelt.
Der Server, der sozusagen die Eingangstür bilden soll, ist ein Windows Server 2008 R2. Hier soll der VPN Server laufen, da mehrere User gleichzeitig (aktuell max. 4 bis später höchstens 10) gleichzeitig auf den Server zugreifen können sollen. Die User sind alle in getrennten Netzen (alle bei sich zu Hause).
Sehe ich es richtig, dass die "Eingangstür" der VPN Server sein muss, oder ist es möglich mehrere Clients auf der Eingangstür laufen zu lassen, so dass jeder User von zu Hause einen VPN Server aufbaut?
vielen Dank für eure Infos.
Hier der Aufbau:
Root-Server: Windows Server 2008 R2 dient als "Tor" zu einem Konstrukt aus Root-Servern (z.B.: SQL Server, Sharepoint, TFS). Damit die nicht alle im Internet hängen müssen, sind die Server inhouse verkabelt.
Der Server, der sozusagen die Eingangstür bilden soll, ist ein Windows Server 2008 R2. Hier soll der VPN Server laufen, da mehrere User gleichzeitig (aktuell max. 4 bis später höchstens 10) gleichzeitig auf den Server zugreifen können sollen. Die User sind alle in getrennten Netzen (alle bei sich zu Hause).
Sehe ich es richtig, dass die "Eingangstür" der VPN Server sein muss, oder ist es möglich mehrere Clients auf der Eingangstür laufen zu lassen, so dass jeder User von zu Hause einen VPN Server aufbaut?
Nun, mit der Aufstellung am Anfang hätte man sich viel Zeit sparen können.
Hierbei kommst du um einen VPN-Server nicht herum. Zwar könnte man es so einrichten, dass der Verkehr zum und vom Netzwerk über den Server auf die restlichen "inhouse-verkabelten" Server geroutet wird, allerdings führt die Anmeldung mehrerer Netzwerke auf ein Client-to-Lan Konzept zum einen, das Gefrickel, es richtig zu lösen dieses Konstrukt ad absurdum.
Ja, da hast du Recht, hier führt nichts an einer VPNLösung (wie auch immer geartet) vorbei. Allerdings böte es sich in diesem Fall an, eine HW UTM/Fw o.ä logisch vor die Server zu stellen. Denn ein Windows-Server, der gleichzeitig Firewall/VPN Server etc kombiniert ist immer auch ein Sicherheitsloch. Nur um diesen Aspekt direkt miteinfliessen zu lassen.
VG
Hierbei kommst du um einen VPN-Server nicht herum. Zwar könnte man es so einrichten, dass der Verkehr zum und vom Netzwerk über den Server auf die restlichen "inhouse-verkabelten" Server geroutet wird, allerdings führt die Anmeldung mehrerer Netzwerke auf ein Client-to-Lan Konzept zum einen, das Gefrickel, es richtig zu lösen dieses Konstrukt ad absurdum.
Ja, da hast du Recht, hier führt nichts an einer VPNLösung (wie auch immer geartet) vorbei. Allerdings böte es sich in diesem Fall an, eine HW UTM/Fw o.ä logisch vor die Server zu stellen. Denn ein Windows-Server, der gleichzeitig Firewall/VPN Server etc kombiniert ist immer auch ein Sicherheitsloch. Nur um diesen Aspekt direkt miteinfliessen zu lassen.
VG
Eigentlich duzt man sich ja in Foren aber nundenn...
Ja, bei einem solchen Konstrukt kann man dir nur zu einer OpenVPN Lösung raten auf dem Server denn du musst auch ein Routing auf die jeweiligen Clients "pushen" das die IP Netze hinter dem Server auch auf die Clients geroutet werden bzw. in den VPN Tunnel geroutet werden.
Mit PPTP ist sowas nur sehr schwer möglich und erfordert erhebliche Klimmzüge da das dafür nicht gemacht ist.
Das ist erheblich einfacher mit OpenVPN oder noch besser mit einer Firewall davor die das VPN erledigt. Egal ob jetzt mit OpenVPN oder IPsec. Einen Windows Server direkt ins Internet zu exponieren macht heute kein vernünftiger Netzwerker mehr...eigentlich !
Auch wenn du es trotzdem tun möchtest ist dann OpenVPN für dich der richtige Weg !
Wie man das mit pfSense umsetzt kannst du hier nachlesen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ja, bei einem solchen Konstrukt kann man dir nur zu einer OpenVPN Lösung raten auf dem Server denn du musst auch ein Routing auf die jeweiligen Clients "pushen" das die IP Netze hinter dem Server auch auf die Clients geroutet werden bzw. in den VPN Tunnel geroutet werden.
Mit PPTP ist sowas nur sehr schwer möglich und erfordert erhebliche Klimmzüge da das dafür nicht gemacht ist.
Das ist erheblich einfacher mit OpenVPN oder noch besser mit einer Firewall davor die das VPN erledigt. Egal ob jetzt mit OpenVPN oder IPsec. Einen Windows Server direkt ins Internet zu exponieren macht heute kein vernünftiger Netzwerker mehr...eigentlich !
Auch wenn du es trotzdem tun möchtest ist dann OpenVPN für dich der richtige Weg !
Wie man das mit pfSense umsetzt kannst du hier nachlesen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Vielen Dank.
Ich schau mir mal OpenVPN an.
Eine Hardware Lösung wäre mir auch lieb gewesen, ist aber beim Hoster nicht möglicher. Es wird wohl darauf hinaus laufen, dass wir einen kleinen Root Server mieten und diesen mit OpenVPN als VPN Server laufen lassen und diesen dann als "Eingangstür" nutzen.
@certifiedit
Warum sollte man keinen abgesicherten Windows Server als Firewall und VPN Server nutzen? Lieber den VPN Server auf einen nachgelagerten Server legen? Oder wie muß ich das Statement verstehen?
@aqui
Warum stellt man einen Windows Server nicht ins Internet? Oder ist das wieder so eine Glaubensfrage zwischen Windows und Linux?
Ich schau mir mal OpenVPN an.
Eine Hardware Lösung wäre mir auch lieb gewesen, ist aber beim Hoster nicht möglicher. Es wird wohl darauf hinaus laufen, dass wir einen kleinen Root Server mieten und diesen mit OpenVPN als VPN Server laufen lassen und diesen dann als "Eingangstür" nutzen.
@certifiedit
Warum sollte man keinen abgesicherten Windows Server als Firewall und VPN Server nutzen? Lieber den VPN Server auf einen nachgelagerten Server legen? Oder wie muß ich das Statement verstehen?
@aqui
Warum stellt man einen Windows Server nicht ins Internet? Oder ist das wieder so eine Glaubensfrage zwischen Windows und Linux?
Zitat von @dasgunn:
Warum stellt man einen Windows Server nicht ins Internet? Oder ist das wieder so eine Glaubensfrage zwischen Windows und Linux?
Warum stellt man einen Windows Server nicht ins Internet? Oder ist das wieder so eine Glaubensfrage zwischen Windows und Linux?
Server stellt man normalerweise nicht einfach so ins Internet. Da gehört immer eine Firewall davor, die die Dienste einschränkt. Und das OS ist egal, ob es nun BSD, Windows, Linux oder Solaris ist.
das problem mit den servern ist, daß man da aus versehen schnell mal irgendwo ein Loch reinschießen kann, insbesodnere dann wenn ungeübte Admins dran rumfummeln.
leider ist das mit den heutigen rootservern so, daß die meisten davon "mit dem nackten Arsch" im Internet hängen und viele der Admins gar nicht wissen, das sie da an der Backe haben.
lks
Hallo Lochkartenstanzer,
vielen Dank für deine Infos. Dann lag ich also nicht so falsch. Das man bei einem System die Firewall regeln checkt ist klar. Das man mindestens Mal einen Scan von Außen laufen lässt und das gegenzuchecken leuchtet mir auch ein. Das ich keine kritischen Anwendungen auf dem "Eingangsserver" laufen lasse ist mir auch klar.
Reicht es nicht sogar aus, wenn man auf dem "Eingangsserver" ein Windows Server 2008 nur mit eingebauter Firewall betreibt?
Diese wird dann so dicht gemacht, dass tatsächlich nur die Ports offen sind, die auch offen sein sollen und fertig.
Auf diesem Server wird der VPN Server installiert.
Jetzt kann ich theoretisch davon ausgehen, dass ich auf dem "Eingangsserver" nicht mal eine Anti-Viren Lösung installieren muß, oder?
spricht etwas gegen die Windows Firewall? Wenn ja, was und was wäre eine Alternative? Es darf dabei auch ruhig Geld kosten. Es muß nicht immer Open Source sein.
vielen Dank für deine Infos. Dann lag ich also nicht so falsch. Das man bei einem System die Firewall regeln checkt ist klar. Das man mindestens Mal einen Scan von Außen laufen lässt und das gegenzuchecken leuchtet mir auch ein. Das ich keine kritischen Anwendungen auf dem "Eingangsserver" laufen lasse ist mir auch klar.
Reicht es nicht sogar aus, wenn man auf dem "Eingangsserver" ein Windows Server 2008 nur mit eingebauter Firewall betreibt?
Diese wird dann so dicht gemacht, dass tatsächlich nur die Ports offen sind, die auch offen sein sollen und fertig.
Auf diesem Server wird der VPN Server installiert.
Jetzt kann ich theoretisch davon ausgehen, dass ich auf dem "Eingangsserver" nicht mal eine Anti-Viren Lösung installieren muß, oder?
spricht etwas gegen die Windows Firewall? Wenn ja, was und was wäre eine Alternative? Es darf dabei auch ruhig Geld kosten. Es muß nicht immer Open Source sein.
Ich sage nur "Sicherheitslücken" - steht davor eine Firewall , muss man sich erst durch das eine durchbeissen, bevor man an das Hauptgerät kommt, falls man überhaupt so weit kommt - im weiteren ist eine Firewall oftmals auch direkt VPN-Server, womit das Gefrickel auf der Server/Netz Seite schonmal erledigt wäre und die Serverfarm nur das tun kann/muss, was sie soll: für deine Daten und Programme arbeiten.
Ich bin mit den Astaro ASGs + jetzt Sophos UTMs sehr zufrieden, wenn du dazu eine HIlfestellung brauchst kannst du gerne mal anklopfen.
Ich bin mit den Astaro ASGs + jetzt Sophos UTMs sehr zufrieden, wenn du dazu eine HIlfestellung brauchst kannst du gerne mal anklopfen.
Hallo Certifiedit,
vielen Dank für deine Info. Bei Bedarf komme ich gern auf dein Angebot zurück.
Ich habe jetzt einige Tests durchgeführt mit der pfSense als OpenVPN Client zu einem selbst konfigurierten Server (AWS EC2).
Der Connect klappt gut. Ich komme weiterhin ins Internet und pfSense meldet das der Tunnel steht (IP wurde vergeben und die Meldung "...sequence complete" war auch zu lesen). Also habe probiert mich in das Netz eines Kunden einzuwählen (ebenfalls OpenVPN Server). Auch hier hat der Connect geklappt und pfSense hat eine IP bekommen. Ich kann nun allerdings weder einen PC/Server im Netzwerk des Kunden anpingen, noch eine Internetseite (weder von dem an der pfSense angeschlossenen PC noch von der box selber).
Das einzige was auf meinen Ping antwortet ist meine Fritz!Box, die noch vor der pfSense steht.
Es ist bestimmt eine Firewall Einstellung. Kann mir hier jemand einen Tipp geben wo ich eine gute Anleitung finde?
Bzw. möchte ich, dass eine Anfrage, die an das angebundene Netz adressiert ist auch dort hin geht und alles andere am Tunnel vorbei an meine Fritz!Box geht (lokales Internet). Hat hier jemand einen Tipp?
vielen Dank für deine Info. Bei Bedarf komme ich gern auf dein Angebot zurück.
Ich habe jetzt einige Tests durchgeführt mit der pfSense als OpenVPN Client zu einem selbst konfigurierten Server (AWS EC2).
Der Connect klappt gut. Ich komme weiterhin ins Internet und pfSense meldet das der Tunnel steht (IP wurde vergeben und die Meldung "...sequence complete" war auch zu lesen). Also habe probiert mich in das Netz eines Kunden einzuwählen (ebenfalls OpenVPN Server). Auch hier hat der Connect geklappt und pfSense hat eine IP bekommen. Ich kann nun allerdings weder einen PC/Server im Netzwerk des Kunden anpingen, noch eine Internetseite (weder von dem an der pfSense angeschlossenen PC noch von der box selber).
Das einzige was auf meinen Ping antwortet ist meine Fritz!Box, die noch vor der pfSense steht.
Es ist bestimmt eine Firewall Einstellung. Kann mir hier jemand einen Tipp geben wo ich eine gute Anleitung finde?
Bzw. möchte ich, dass eine Anfrage, die an das angebundene Netz adressiert ist auch dort hin geht und alles andere am Tunnel vorbei an meine Fritz!Box geht (lokales Internet). Hat hier jemand einen Tipp?
Hallo dasgunn,
bitte, gerne, gerne bitte.
Was dein Problem angeht: Schau mal, ob die Routen in und von dem Netz stimmen. Wäre Ansatz Nummer 1. Sonst dürfte es zu pfSense genug im "freien" Netz geben.
VG Christian
bitte, gerne, gerne bitte.
Was dein Problem angeht: Schau mal, ob die Routen in und von dem Netz stimmen. Wäre Ansatz Nummer 1. Sonst dürfte es zu pfSense genug im "freien" Netz geben.
VG Christian
Hallo.
Danke!
Gerade weil es soviel gibt, ist es schwierig das Richtige zu finden. Ich habe ja auch schon gute Anleitungen bekommen zum Thema OpenVPN. Da hatte ich gedacht es gibt vielleicht jemanden, der ein gutes Tutorial oder HowTo kennt.
Vielleicht hat ja noch Einer eine Idee.
dasgunn
Danke!
Gerade weil es soviel gibt, ist es schwierig das Richtige zu finden. Ich habe ja auch schon gute Anleitungen bekommen zum Thema OpenVPN. Da hatte ich gedacht es gibt vielleicht jemanden, der ein gutes Tutorial oder HowTo kennt.
Vielleicht hat ja noch Einer eine Idee.
dasgunn
Zwischenstand zur Machbarkeit.
Teil 1 funktioniert : Es ist also auf jeden Fall möglich mit einer vor den PC bzw. vor ein Subnetz geschalteten Box einen VPN Tunnel aufzubauen.
Teil 2 funktioniert : Diese Box kann auch hinter ein bereits bestehenden Router/Modem geschaltet werden.
Teil 3 offen : Nur der Datenverkehr der für das entfernte Netz bestimmt ist geht auch dort hin. Der Rest wird von dem vor der Box geschalteten Modem/Router bearbeitet (z.B. Anfragen und Antworten aus dem Internet). Hier scheint es "nur" an Firewalleinstellungen bzw. fehlenden Routen zu liegen.
Teil 4 offen : Die Box leitet die für das angebundene Netz bestimmten Datenpakete dorthin. Hier habe ich die Materie noch nicht vollständig durchdrungen, in Sachen DNS im Fremdnetz und dessen Eintragung in der Box.
Teil 5 offen : Mehrere Clients einrichten auf der Box um mit unterschiedlichen VPN Servern gleichzeitig verbunden zu sein.
Bisher eingesetzte Technologien:
- OpenVPN Server auf Windows Server 2008 R2
- pfSsense in "Alix Bauweise" als OpenVPN Client
- Fritz!Box als Modem/Router
Tipp: Es empfiehlt sich, gerade als Neuling, an der pfSense immer auch noch ein serielles Kabel anzuschließen und darüber die Box im Auge zu behalten bzw. bedienbar zu halten, da eine neurale Schwäche des Bedienenden zur Nichterreichhbarkeit des Webinterfaces führen kann.
Über weitere Unterstützung würde ich mich freuen.
dasgunn
Teil 1 funktioniert : Es ist also auf jeden Fall möglich mit einer vor den PC bzw. vor ein Subnetz geschalteten Box einen VPN Tunnel aufzubauen.
Teil 2 funktioniert : Diese Box kann auch hinter ein bereits bestehenden Router/Modem geschaltet werden.
Teil 3 offen : Nur der Datenverkehr der für das entfernte Netz bestimmt ist geht auch dort hin. Der Rest wird von dem vor der Box geschalteten Modem/Router bearbeitet (z.B. Anfragen und Antworten aus dem Internet). Hier scheint es "nur" an Firewalleinstellungen bzw. fehlenden Routen zu liegen.
Teil 4 offen : Die Box leitet die für das angebundene Netz bestimmten Datenpakete dorthin. Hier habe ich die Materie noch nicht vollständig durchdrungen, in Sachen DNS im Fremdnetz und dessen Eintragung in der Box.
Teil 5 offen : Mehrere Clients einrichten auf der Box um mit unterschiedlichen VPN Servern gleichzeitig verbunden zu sein.
Bisher eingesetzte Technologien:
- OpenVPN Server auf Windows Server 2008 R2
- pfSsense in "Alix Bauweise" als OpenVPN Client
- Fritz!Box als Modem/Router
Tipp: Es empfiehlt sich, gerade als Neuling, an der pfSense immer auch noch ein serielles Kabel anzuschließen und darüber die Box im Auge zu behalten bzw. bedienbar zu halten, da eine neurale Schwäche des Bedienenden zur Nichterreichhbarkeit des Webinterfaces führen kann.
Über weitere Unterstützung würde ich mich freuen.
dasgunn
Teil 1: Ist klar und jedem Netzwerker bekannt, da klassische VPN LAN zu LAN Kopplung, also eine Binsenweisheit....
Teil 2: Ist auch klar, warum sollte das denn auch nicht gehen ??
Teil 3: Ja, richtig ! Das ist immer eine Frage des richtigen Routings und der FW Einstellungen, klappt aber auch problemlos wenn man weiss was man macht.
Teil 4: Funktioniert auch problemlos. Hier ist es allerdings davon abhängig ob du einen eigenen lokalen DNS betreibst oder nicht. Deshalb ist hier eine hilfreiche Antwort nicht möglich da du keinerlei Infos dazu lieferst. Das DNS Thema ist auch im u.a. OpenVPN Tutorial in einem Kapitel beschrieben.
Teil 5: Das sind 3 bis 5 zusätzliche Mausklicks im Setup
Tipp: Ist auch hinreichend bekannt, denn das steht hier
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und hier
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
im Tutorial unter dem Kapitel "Wenn nichts mehr geht".
Wo war jetzt hier was Neues in den obigen Infos ??
Was die Frage eines Tutorials zum Thema OpenVPN anbetrifft wirst du auch hier im Forum fündig:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Auch da wird das Thema "vorgeschalteter Router" mit allen Einstellungen umfassend behandelt ?!
Im Thread unten zu diesem Tutorial:
OpenWRT Low Cost Router für LAN bzw. VLAN Routing inklusive OpenVPN Server
findest du speziell dazu auch noch einige Anmerkungen.
Die Lösungen sind also alle umfassend beschrieben !
Fragt sich jetzt also nur wo genau es bei dir kneift oder WAS genau du umsetzen willst ?! Das ist irgendwie weiterhin diffus und unklar...sorry.
Teil 2: Ist auch klar, warum sollte das denn auch nicht gehen ??
Teil 3: Ja, richtig ! Das ist immer eine Frage des richtigen Routings und der FW Einstellungen, klappt aber auch problemlos wenn man weiss was man macht.
Teil 4: Funktioniert auch problemlos. Hier ist es allerdings davon abhängig ob du einen eigenen lokalen DNS betreibst oder nicht. Deshalb ist hier eine hilfreiche Antwort nicht möglich da du keinerlei Infos dazu lieferst. Das DNS Thema ist auch im u.a. OpenVPN Tutorial in einem Kapitel beschrieben.
Teil 5: Das sind 3 bis 5 zusätzliche Mausklicks im Setup
Tipp: Ist auch hinreichend bekannt, denn das steht hier
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und hier
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
im Tutorial unter dem Kapitel "Wenn nichts mehr geht".
Wo war jetzt hier was Neues in den obigen Infos ??
Was die Frage eines Tutorials zum Thema OpenVPN anbetrifft wirst du auch hier im Forum fündig:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Auch da wird das Thema "vorgeschalteter Router" mit allen Einstellungen umfassend behandelt ?!
Im Thread unten zu diesem Tutorial:
OpenWRT Low Cost Router für LAN bzw. VLAN Routing inklusive OpenVPN Server
findest du speziell dazu auch noch einige Anmerkungen.
Die Lösungen sind also alle umfassend beschrieben !
Fragt sich jetzt also nur wo genau es bei dir kneift oder WAS genau du umsetzen willst ?! Das ist irgendwie weiterhin diffus und unklar...sorry.
Hallo aqui,
meine von Dir beschriebenen Unzulänglichkeiten basieren auf meinem Unwissen.
Woher soll ich wissen was fehlt, wenn ich nicht weiß das es das gibt.
Ich bin Dir sehr dankbar für die Suche und deine Kommentare stimmen mich zuversichtlich. Ich werde mir die Threads durchlesen und dann versuchen die richtigen Fragen zu stellen, die Notwendigkeit dazu vorausgesetzt.
dasgunn
meine von Dir beschriebenen Unzulänglichkeiten basieren auf meinem Unwissen.
Woher soll ich wissen was fehlt, wenn ich nicht weiß das es das gibt.
Ich bin Dir sehr dankbar für die Suche und deine Kommentare stimmen mich zuversichtlich. Ich werde mir die Threads durchlesen und dann versuchen die richtigen Fragen zu stellen, die Notwendigkeit dazu vorausgesetzt.
dasgunn
Beschreib doch einfach mal ganz genau WIE dein Szenario genau aussieht und WAS dort genau passieren soll !
Idealerweise mit einem kleinen Bild was du hier auch mit der Bilder Hochlad Funktion (im Ursprungsthread, Rechtsklick und cut and paste des Bilder URLs) hier mal in die Antwort posten kannst.
Dann kann man dir doch ganz direkt und zielgerichtet antworten.
Idealerweise mit einem kleinen Bild was du hier auch mit der Bilder Hochlad Funktion (im Ursprungsthread, Rechtsklick und cut and paste des Bilder URLs) hier mal in die Antwort posten kannst.
Dann kann man dir doch ganz direkt und zielgerichtet antworten.
Hallo aqui,
danke für dein Angebot. Das nehme ich gern an.
Was funktioniert wann:
Ohne VPN Verbindung:
Die Geräte sehen sich untereinander.
Mit VPN:
Ping von PC1 an LAN/pfSense ok
Ping von PC1 an WAN/pfSense ok
Ping von PC1 an LAN/Fritz!Box ok
Ping von PC1 an IP (10.210.0.6) in RemoteNetz nicht ok
Ping von PC1 an Internet nicht ok
Ping von pfSense an IP (10.210.0.6) in RemoteNetz ok
Ping von pfSense an Internet nicht ok
Ping von PfSense an Fritz!Box ok
Ping von PfSense an PC2 ok
Was soll funktionieren?
Von PC1 sollen allen Aufrufe die für das Remotenetz bestimmt sind auch dort ankommen.
Idealerweise funktioniert auch der Aufruf des Hostname eines Servers im Remotenetz von PC1 aus. (Muß aber nicht)
Von PC1 sollen alle sonstigen Aufrufe an den lokaten DNS (192.168.178.1) gehen.
Vielen Dank für deine Hilfe!
Netzwerkübersicht:
Einstellungen an pfSense:
Firewall LAN:
Firewall OVPN:
Firewall WAN:
NAT Outbound:
OVPN Client:
danke für dein Angebot. Das nehme ich gern an.
Was funktioniert wann:
Ohne VPN Verbindung:
Die Geräte sehen sich untereinander.
Mit VPN:
Ping von PC1 an LAN/pfSense ok
Ping von PC1 an WAN/pfSense ok
Ping von PC1 an LAN/Fritz!Box ok
Ping von PC1 an IP (10.210.0.6) in RemoteNetz nicht ok
Ping von PC1 an Internet nicht ok
Ping von pfSense an IP (10.210.0.6) in RemoteNetz ok
Ping von pfSense an Internet nicht ok
Ping von PfSense an Fritz!Box ok
Ping von PfSense an PC2 ok
Was soll funktionieren?
Von PC1 sollen allen Aufrufe die für das Remotenetz bestimmt sind auch dort ankommen.
Idealerweise funktioniert auch der Aufruf des Hostname eines Servers im Remotenetz von PC1 aus. (Muß aber nicht)
Von PC1 sollen alle sonstigen Aufrufe an den lokaten DNS (192.168.178.1) gehen.
Vielen Dank für deine Hilfe!
Netzwerkübersicht:
Einstellungen an pfSense:
Firewall LAN:
Firewall OVPN:
Firewall WAN:
NAT Outbound:
OVPN Client:
OK, eigentlich ein simples Standardszenario, was ja teilweise auch schon rennt wie man sieht.
Als erstes solltest du die Internet Verbindung der pFSense sauber zum laufen bekommen, das der Teil ertsmal fehlerfrei funktioniert. Dann erst gehen wir das VPN an !
Also...strategisch vorgehen !
Bis hierhin MUSST du erstmal kommen vorher macht es keinerlei Sinn weiterzumachen !
Fehler in deinen obigen Settings:
1.) FW Regeln LAN Port:
Die letze Regel (alles Stern) ist überflüssiger Unsinn und solltest du entfernen !
2.) FW Regel WAN Port
Die dortige Regel ist auch Blödsinn. Entferne dort alles und belasse das so wie es im Default ist !
Trage einzig nur ein das UDP 1194 auf die WAN IP 192.168.178.254 erlaubt ist wie es im OpenVPN_Tutorial erklärt ist.
3.) OVPN Port kannst du erstmal lassen da Scheunentorregel und zum Testen OK
4.) NAT Outbound Regeln sind völliger Unsinn, die kannst du komplett entfernen und alles so lassen wie es im Default ist
5.) Openvpn Client Einstellung !
Das Tunnel Network erwartet eine Notation mit einem Netzwerk. Du hast hier aber eine IP Hostadresse eingegeben was natürlich unsinnig ist und zu Fehlern führt. Änder das also bitte auf 192.168.2.0 /24 wie es sein soll.
Lies dir dazu auch nochmal die IP Adressierungsempfehlungen uim Tutorial durch. Es ist nicht ratsam solche dummen 192.168er Allerwelts IPs zu verwenden. Da es aber bei dir so erstmal nicht vorkommt (und hoffentlich nicht auf der 10er IP Seite !?) ist das erstmal OK. Prüfe das das Tunnel Netzwerk auch mit dem korrespondiert was auf der OpenVPN Server Seite (10er IP) so in der server.congig Datei eingetragen ist. Ein Posting dieser Datei hier kann übrigens nicht schaden !!
Den gleichen Blödsinn hast du natürlich bei "Remote Network" gemacht !!
Auch hier muss die Notation in Netzwerk Schreibweise erfolgen ! Du sollst ja ein Netz angeben und nicht unsinnig eine Host IP wie du es gemacht hast. Auch hier gehört 10.0.0.0 /24 rein !
Der Rest ist soweit OK und wir gehen hier mal davon aus das die OVPN Verbindung auf den Server steht und sauber funktioniert. Ist dem so (Logs vom OVPN Server ?!)
Ein Ping auf die Tunnel IP des Server 192.168.2.1 sollte klappen von der pfSense aus und ebenso auf die 10er LAN IP des remoten Servers !
Wie gesagt: Bringe erstmal den Internet Zugriff auf PC1 Seite sauber zum Fliegen dann gehen wir in die Details hier !
Und....bitte immer das OpenVPN Tutorial lesen und ggf. auch das Hotspot_Tutorial was zusätzlich noch Tipps zur pfSense Vernetzung hat !
Als erstes solltest du die Internet Verbindung der pFSense sauber zum laufen bekommen, das der Teil ertsmal fehlerfrei funktioniert. Dann erst gehen wir das VPN an !
Also...strategisch vorgehen !
- Am WAN Port der pfSense eine statische IP angeben, denn das ist zwingend in dem Umfeld. Setze also den Modus auf Static wenn ers nicht schon ist ! Router bekommen immer eine IP ganz oben oder ganz unten also setze den pfSense WAN Port auf 192.168.178.254, Maske 255.255.255.0, als Gateway trägst du die 192.168.178.1 ein !
- Achtung unter "General Setup" musst du den DNS Server statisch eintragen das ist auch der FB Router 192.168.178.1 da der ja als DNS Proxy rennt
- Wichtig !: Im Setting Interface -> WAN unten den Haken bei "Block Private Networks" unbedingt entfernen sonst wird das .178.0er Netz geblockt !
- DHCP fürs .1.0er Netz mit PC1 ist ja vermutlich aktiv also jetzt dann den WAN Port der pfSense mit dem LAN der FB verbinden. Ping con PC1 und pfSense auf die FB sollte klappen ebenso wie der Internet Zugang von PC1
Bis hierhin MUSST du erstmal kommen vorher macht es keinerlei Sinn weiterzumachen !
Fehler in deinen obigen Settings:
1.) FW Regeln LAN Port:
Die letze Regel (alles Stern) ist überflüssiger Unsinn und solltest du entfernen !
2.) FW Regel WAN Port
Die dortige Regel ist auch Blödsinn. Entferne dort alles und belasse das so wie es im Default ist !
Trage einzig nur ein das UDP 1194 auf die WAN IP 192.168.178.254 erlaubt ist wie es im OpenVPN_Tutorial erklärt ist.
3.) OVPN Port kannst du erstmal lassen da Scheunentorregel und zum Testen OK
4.) NAT Outbound Regeln sind völliger Unsinn, die kannst du komplett entfernen und alles so lassen wie es im Default ist
5.) Openvpn Client Einstellung !
Das Tunnel Network erwartet eine Notation mit einem Netzwerk. Du hast hier aber eine IP Hostadresse eingegeben was natürlich unsinnig ist und zu Fehlern führt. Änder das also bitte auf 192.168.2.0 /24 wie es sein soll.
Lies dir dazu auch nochmal die IP Adressierungsempfehlungen uim Tutorial durch. Es ist nicht ratsam solche dummen 192.168er Allerwelts IPs zu verwenden. Da es aber bei dir so erstmal nicht vorkommt (und hoffentlich nicht auf der 10er IP Seite !?) ist das erstmal OK. Prüfe das das Tunnel Netzwerk auch mit dem korrespondiert was auf der OpenVPN Server Seite (10er IP) so in der server.congig Datei eingetragen ist. Ein Posting dieser Datei hier kann übrigens nicht schaden !!
Den gleichen Blödsinn hast du natürlich bei "Remote Network" gemacht !!
Auch hier muss die Notation in Netzwerk Schreibweise erfolgen ! Du sollst ja ein Netz angeben und nicht unsinnig eine Host IP wie du es gemacht hast. Auch hier gehört 10.0.0.0 /24 rein !
Der Rest ist soweit OK und wir gehen hier mal davon aus das die OVPN Verbindung auf den Server steht und sauber funktioniert. Ist dem so (Logs vom OVPN Server ?!)
Ein Ping auf die Tunnel IP des Server 192.168.2.1 sollte klappen von der pfSense aus und ebenso auf die 10er LAN IP des remoten Servers !
Wie gesagt: Bringe erstmal den Internet Zugriff auf PC1 Seite sauber zum Fliegen dann gehen wir in die Details hier !
Und....bitte immer das OpenVPN Tutorial lesen und ggf. auch das Hotspot_Tutorial was zusätzlich noch Tipps zur pfSense Vernetzung hat !
Hallo aqui,
Danke!
Ich habe alle deine Schritte befolgt. (Einstellungen unten). Leider ist es nach Öffnung des Tunnels nicht möglich einen Ping von PC1 in die Firma oder ins Internet zu senden.
Tracert zeigt mir, dass ich mit meiner Anfrage bis zum LAN Port der pfSense (192.168.1.1) komme.
Wenn ich die gleiche Anfrage von der Shell der pfSense starte (traceroute), dann sehe ich,dass diese Abfrage in den Tunnel geschickt wird und dort aufgelöst wird.
Hierzu 2 Fragen.
1. Warum klappt das nicht von PC1 aus?
2. Warum geht der Ping, der ins Internet soll in den Tunnel?
Der Zugriff von PC1 auf das Internet und alle anderen Geräte lokal ist nur möglich, wenn der VPN Tunnel nicht geöffnet ist. Ist der Tunnel offen, dann funktioniert nur ein Ping ins lokale Netz, nicht aber ins entfernte Netz oder Internet.
Ich habe die OpenVPN Client Einstellungen aufgrund der alten Logs angepasst. Unten sind die neuen Einstellungen und das aktuelle Log angehängt.
Ich habe die VPN Einstellungen einer ovpn-Datei angepasst.
ovpn-Client-Datei:
client
dev tun
remote xx.xx.xx.xx
ca ca.crt
cert dateiname.crt
key dateiname.key
ns-cert-type server
auth-user-pass
An den Server in der Firma komme ich nicht ran.
Bei Firewall->NAT ist alles raus.
Deine Tutorials habe ich eigentlich gelesen. Ohne Diese wäre ich nicht soweit gekommen.
By the way: Ich habe auf deinen Rat meine Adressenbereiche umgebaut (aktualisiertes Bild ist unten). Des Weiteren habe ich den Log von OpenVPN unten angehängt und alle Einstellungen zur Prüfung.
Danke für deine Hilfe!
Neues Netzwerk:
Firewall WAN:
Firewall LAN:
Firewall OVPN:
General Settings:
OpenVPN Client:
OpenVPN Log:
WAN Interface:
LAN Interface:
Danke!
Ich habe alle deine Schritte befolgt. (Einstellungen unten). Leider ist es nach Öffnung des Tunnels nicht möglich einen Ping von PC1 in die Firma oder ins Internet zu senden.
Tracert zeigt mir, dass ich mit meiner Anfrage bis zum LAN Port der pfSense (192.168.1.1) komme.
Wenn ich die gleiche Anfrage von der Shell der pfSense starte (traceroute), dann sehe ich,dass diese Abfrage in den Tunnel geschickt wird und dort aufgelöst wird.
Hierzu 2 Fragen.
1. Warum klappt das nicht von PC1 aus?
2. Warum geht der Ping, der ins Internet soll in den Tunnel?
Der Zugriff von PC1 auf das Internet und alle anderen Geräte lokal ist nur möglich, wenn der VPN Tunnel nicht geöffnet ist. Ist der Tunnel offen, dann funktioniert nur ein Ping ins lokale Netz, nicht aber ins entfernte Netz oder Internet.
Ich habe die OpenVPN Client Einstellungen aufgrund der alten Logs angepasst. Unten sind die neuen Einstellungen und das aktuelle Log angehängt.
Ich habe die VPN Einstellungen einer ovpn-Datei angepasst.
ovpn-Client-Datei:
client
dev tun
remote xx.xx.xx.xx
ca ca.crt
cert dateiname.crt
key dateiname.key
ns-cert-type server
auth-user-pass
An den Server in der Firma komme ich nicht ran.
Bei Firewall->NAT ist alles raus.
Deine Tutorials habe ich eigentlich gelesen. Ohne Diese wäre ich nicht soweit gekommen.
By the way: Ich habe auf deinen Rat meine Adressenbereiche umgebaut (aktualisiertes Bild ist unten). Des Weiteren habe ich den Log von OpenVPN unten angehängt und alle Einstellungen zur Prüfung.
Danke für deine Hilfe!
Neues Netzwerk:
Du hast schon wieder den 2ten Schritt vor dem ersten gemacht
WAS ist mit der pFSense und dem lokalen Internet Zugang ?? Funktioniert das jetzt so wie es soll ??
Das ist der erste wichtige Schritt um überhaupt weiterzumachen....
Das du an den Server in der Zentrale nicht rankommst ist suboptimal bis schlecht !
Es ist essentiell wichtig denn der (und nur der) gibt das Tunnelnetzwerk vor !! Du kannst niemals so einfach beim Client ein beliebiges Tunnelnetzwerk eintragen. Das MUSS mit der OVPN Server Konfig abgestimmt sein.
Ebenso natürlich die Zertifikate.
Es wäre also mal essentiell wichtig diese Server Konfig oder nur den relevanten Auszug dazu zu sehen.
Vermutlich kommt dein OVPN Tunnel gar nicht zustande, dann kann man sich einen Wolf pingen logischerweise...
Bevor wir da aber ins detail gehen sollte zuallererst die pfSense lokal laufen das dort alles mit dem Internetzugang sauber funktioniert !
WAS ist mit der pFSense und dem lokalen Internet Zugang ?? Funktioniert das jetzt so wie es soll ??
Das ist der erste wichtige Schritt um überhaupt weiterzumachen....
Das du an den Server in der Zentrale nicht rankommst ist suboptimal bis schlecht !
Es ist essentiell wichtig denn der (und nur der) gibt das Tunnelnetzwerk vor !! Du kannst niemals so einfach beim Client ein beliebiges Tunnelnetzwerk eintragen. Das MUSS mit der OVPN Server Konfig abgestimmt sein.
Ebenso natürlich die Zertifikate.
Es wäre also mal essentiell wichtig diese Server Konfig oder nur den relevanten Auszug dazu zu sehen.
Vermutlich kommt dein OVPN Tunnel gar nicht zustande, dann kann man sich einen Wolf pingen logischerweise...
Bevor wir da aber ins detail gehen sollte zuallererst die pfSense lokal laufen das dort alles mit dem Internetzugang sauber funktioniert !
Halloo,
der Internetzugriff funktioniert, wenn der Tunnel nicht offen.
Der Tunnel wir laut Log aufgebaut (Screenshot ist oben). Ein Ping an einen Server im entfernten Server kommt ja an. Aber eben nur von der Box aus, nicht vom angeschlossenen PC1.
dasgunn
der Internetzugriff funktioniert, wenn der Tunnel nicht offen.
Der Tunnel wir laut Log aufgebaut (Screenshot ist oben). Ein Ping an einen Server im entfernten Server kommt ja an. Aber eben nur von der Box aus, nicht vom angeschlossenen PC1.
dasgunn
OK, hast Recht der OVPN Tunnel kommt sauber zustande ! Das sollte dir auch der Output in der pfSense Routing Tabelle zeigen.
Das Problem deutet auf 3 mögliche Ursachen hin:
1.) Lokale Firewall des PCs ! Die blockt wie man weiss in der Regel alles was nicht aus dem lokalen Netzwerk kommt ! Die musst du also entsprechend anpassen damit sie Pakete die aus dem remoten 10er Netz und 10er Absender IPs kommen zulässt.
2.) Die Firewall Regeln auf dem pfSense OVPN Interface und dem lokalen LAN blocken diesen Traffic. Da hilft immer ein Blick in das Firewall Log !
3.) ...und (sehr wahrscheinlich bei dir): Du tauchst mit einer 192.168.1.x Adresse als Absender IP bei den Rechnern im remoten 10er Netzwerk auf.
Hier lauern nun 2 Gefahren:
a.) Die lokalen Firewalls der Rechner dort blocken den Zugriff aus diesem, deinem PC1 Netz was sie nicht kennen. Wahrscheinlicher ist aber..
b.) Die Rechner im remoten Netzwerk kennen die Route nicht in dein 192.168.1.0er Netz des PC1 !!
D.h. deine Pings kommen da an und der remote 10er Rechner will sie beantworten. Da sie aus einem fremden Netz (192.168.1.0 /24) kommen schickt der Rechner das Antwortpaket mit der Ziel IP 192.168.1.x (PC1) weiter an das bei ihm eingetragene Default Gateway des 10er Netzes, was er konfiguriert hat (hoffentlich).
Das wiederum ist dort vermutlich nicht der OVPN Server, sondern ein separater Router so das dieser Router die Pakete in dein 192.168.1er Netz ohne separate Route dann ins Internet routet wo sie im Nirwana verschwinden. Genau das Verhalten was du ja siehst...
Wichtig wäre hier das dieser Router die 192.168.1.0er Pakete an den OVPN Server im 10er Netz schickt, so finden sie auch den Rückweg zu PC1 !
Dafür ist auf dem Router dort zwingend eine statische Route erforderlich ala "Ziel:192.168.1.0, Maske:255.255.255.0, Gateway: <IP_OVPN_Server>"
Ein klassisches Problem bei VPNs was häufig übersehen wird.
Diese 3 Punkte solltest du also wasserdicht mal prüfen. Vermutlich scheiterst du an 3b. , was du aber nur mit dem dortigen Admin lösen kann, denn der muss eine Route hinzufügen wenn das Szenario dort so aussieht (ist aber jetzt geraten da du dazu nix sagst )
Will der nicht helfen, gibt es aber einen Workaround. Dann musst du NAT (Adress Translation) machen bei dir im Tunnel. Also dein ganzes 192.168.1er Netz hinter deiner Tunnel IP mit NAT "verstecken".
Als Absender taucht dann im 10er Netz nur diese 10er Tunnel IP auf die aber dort sauber geroutet wird
!
Das kannst du daran sehen das Pings mit der pfSense ja sauber durchkommen. Die benutzt nämlich diese ihre Tunnel IP immer als Absender IP !
Übrigens wenn der Internetzugang von PC1 nicht mehr funktioniert sobald der VPN Tunnel aktiv ist erzwingt der OVPN Server ein Umbiegen des Default Gateways. Dann kann die pFSense nix mehr an die FB forwarden sondern sendet generell alles in den Tunnel. Das ist aus Sicherheitsgründen oft so gewollt bei Firmen damit es nie zu einer Verbindung lokaler (verseuchter) Netze mit dem Firmennetz kommt.
Ob man das im Client aushebeln kann müsste man mal im OVPN Handbuch nachlesen.
Das Problem deutet auf 3 mögliche Ursachen hin:
1.) Lokale Firewall des PCs ! Die blockt wie man weiss in der Regel alles was nicht aus dem lokalen Netzwerk kommt ! Die musst du also entsprechend anpassen damit sie Pakete die aus dem remoten 10er Netz und 10er Absender IPs kommen zulässt.
2.) Die Firewall Regeln auf dem pfSense OVPN Interface und dem lokalen LAN blocken diesen Traffic. Da hilft immer ein Blick in das Firewall Log !
3.) ...und (sehr wahrscheinlich bei dir): Du tauchst mit einer 192.168.1.x Adresse als Absender IP bei den Rechnern im remoten 10er Netzwerk auf.
Hier lauern nun 2 Gefahren:
a.) Die lokalen Firewalls der Rechner dort blocken den Zugriff aus diesem, deinem PC1 Netz was sie nicht kennen. Wahrscheinlicher ist aber..
b.) Die Rechner im remoten Netzwerk kennen die Route nicht in dein 192.168.1.0er Netz des PC1 !!
D.h. deine Pings kommen da an und der remote 10er Rechner will sie beantworten. Da sie aus einem fremden Netz (192.168.1.0 /24) kommen schickt der Rechner das Antwortpaket mit der Ziel IP 192.168.1.x (PC1) weiter an das bei ihm eingetragene Default Gateway des 10er Netzes, was er konfiguriert hat (hoffentlich).
Das wiederum ist dort vermutlich nicht der OVPN Server, sondern ein separater Router so das dieser Router die Pakete in dein 192.168.1er Netz ohne separate Route dann ins Internet routet wo sie im Nirwana verschwinden. Genau das Verhalten was du ja siehst...
Wichtig wäre hier das dieser Router die 192.168.1.0er Pakete an den OVPN Server im 10er Netz schickt, so finden sie auch den Rückweg zu PC1 !
Dafür ist auf dem Router dort zwingend eine statische Route erforderlich ala "Ziel:192.168.1.0, Maske:255.255.255.0, Gateway: <IP_OVPN_Server>"
Ein klassisches Problem bei VPNs was häufig übersehen wird.
Diese 3 Punkte solltest du also wasserdicht mal prüfen. Vermutlich scheiterst du an 3b. , was du aber nur mit dem dortigen Admin lösen kann, denn der muss eine Route hinzufügen wenn das Szenario dort so aussieht (ist aber jetzt geraten da du dazu nix sagst
)Will der nicht helfen, gibt es aber einen Workaround. Dann musst du NAT (Adress Translation) machen bei dir im Tunnel. Also dein ganzes 192.168.1er Netz hinter deiner Tunnel IP mit NAT "verstecken".
Als Absender taucht dann im 10er Netz nur diese 10er Tunnel IP auf die aber dort sauber geroutet wird
!Das kannst du daran sehen das Pings mit der pfSense ja sauber durchkommen. Die benutzt nämlich diese ihre Tunnel IP immer als Absender IP !
Übrigens wenn der Internetzugang von PC1 nicht mehr funktioniert sobald der VPN Tunnel aktiv ist erzwingt der OVPN Server ein Umbiegen des Default Gateways. Dann kann die pFSense nix mehr an die FB forwarden sondern sendet generell alles in den Tunnel. Das ist aus Sicherheitsgründen oft so gewollt bei Firmen damit es nie zu einer Verbindung lokaler (verseuchter) Netze mit dem Firmennetz kommt.
Ob man das im Client aushebeln kann müsste man mal im OVPN Handbuch nachlesen.
Hallo,
schade. Es wird wohl 3b sein.
Was muß ich für den Workaround beim NAT eingeben? Ich möchte das gern mal testen.
Mit dem Internet ist das sehr schade. Ich dachte man kann vielleicht eine statische Route anlegen, damit alle Pakete mit 10er IP dort lang gehen (in den VPN Tunnel) und der Rest an die Fritz!Box?!
Danke!
schade. Es wird wohl 3b sein.
Was muß ich für den Workaround beim NAT eingeben? Ich möchte das gern mal testen.
Mit dem Internet ist das sehr schade. Ich dachte man kann vielleicht eine statische Route anlegen, damit alle Pakete mit 10er IP dort lang gehen (in den VPN Tunnel) und der Rest an die Fritz!Box?!
Danke!
Das mit dem NAT und der Outbound-Regel hab ich selber hin bekommen.
Geht das nicht vielleicht doch mit dem "lokalen" Internet mittels einer statischen Route?
dasgunn
Geht das nicht vielleicht doch mit dem "lokalen" Internet mittels einer statischen Route?
dasgunn
Die Frage die sich stellt ist ob diese statische Route eine höhere Priorität erlangt als die zwangsweise per VPN aufgedrückte.
Oder...ob man das Zwangsgateway blocken kann.
Aber für solche Detail muss auch aqui mal die Lesebrille hervorholen für die OVPN Doku...
Nachfrage: Wenn das Tunnel NAT jetzt rennt kannst du denn damit nun alle remoten Ziele erreichen ?
Ist jetzt das lokale Internet Routing das letzte Problem was dann noch zu fixen ist ??
Oder...ob man das Zwangsgateway blocken kann.
Aber für solche Detail muss auch aqui mal die Lesebrille hervorholen für die OVPN Doku...
Nachfrage: Wenn das Tunnel NAT jetzt rennt kannst du denn damit nun alle remoten Ziele erreichen ?
Ist jetzt das lokale Internet Routing das letzte Problem was dann noch zu fixen ist ??
Grundsätzlich ja. Das Routing wäre das einzige, aber da müsste man bestimmt einen DNS einrichten, der entscheidet, wo welches Datenpaket hin gehört. Das kling recht aufwendig und muß auch nicht sein.
Damit sollte alles erledigt sein.
Ich werde nun eine eigene Verbindung aufsetzen zu einem Server, bei dem ich auch den OpenVPN Server komme. Hier werde ich dann versuchen den Internettraffice lokal zu lassen und den Rest ins entfernte Netzwerk zu senden.
Und das angeschlossene Netzwerk (lokal hinter der pfSense) soll die Möglichkeit bekommen sich in die Domäne des entfernten, per OpenVPN verbundenen Netzwerks zu hängen.
Müsste ja jetzt kein Problem mehr sein.
dasgunn
Damit sollte alles erledigt sein.
Ich werde nun eine eigene Verbindung aufsetzen zu einem Server, bei dem ich auch den OpenVPN Server komme. Hier werde ich dann versuchen den Internettraffice lokal zu lassen und den Rest ins entfernte Netzwerk zu senden.
Und das angeschlossene Netzwerk (lokal hinter der pfSense) soll die Möglichkeit bekommen sich in die Domäne des entfernten, per OpenVPN verbundenen Netzwerks zu hängen.
Müsste ja jetzt kein Problem mehr sein.
dasgunn
Nein ein DNS ist nicht dafür zuständig WO jedes Packet hingehört sondern lediglich nur und ausschliesslich für die Namensauflösung von Doaminnamen zu den dazugehörigen IPs..nicht mehr und nicht weniger !!
Das "Hingehören" ist einzig und allein die Aufgabe des Routings !! Solltest du als Netzwerker aber wissen !
Checken wir also wie wir das Routing auf der pfSense hinbiegen
Das "Hingehören" ist einzig und allein die Aufgabe des Routings !! Solltest du als Netzwerker aber wissen !
Checken wir also wie wir das Routing auf der pfSense hinbiegen
Ich dachte ich benötige eine vorgeschaltete Instanz die entscheidet wo das Paket hin geht, da ein Aufruf der zum Beispiel so aussieht: my.proxy.domain.de, der im entfernten Netz auf zum Beispiel 10.10.10.2 auflöst, der lokale DNS nix anfangen kann. Also müsste es eine vorgeschaltete Instanz geben, die das erstmal abprüft oder?
Die statische Route ist aber auf jeden Fall reizvoll für mich.
Die statische Route ist aber auf jeden Fall reizvoll für mich.
Wieder gilt: Lies dir bitte das OVPN pfSense Tutorial dazu nochmal durch !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Im Kapitel "Domain DNS Integration" ist das explizit beschrieben wie du für diese lokalen Domains einen lokalen Redirect machen kannst !
Damit ist das im Handumdrehen gelöst ! Alternativ kannst du diese lokalen Domain Adressen auch statisch in die hosts oder lmhosts Datei eintragen und auch so das Problem elegant lösen !
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Letzteres macht aber nur Sinn wenn man nur wenige Clients hat, logischerweise.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Im Kapitel "Domain DNS Integration" ist das explizit beschrieben wie du für diese lokalen Domains einen lokalen Redirect machen kannst !
Damit ist das im Handumdrehen gelöst ! Alternativ kannst du diese lokalen Domain Adressen auch statisch in die hosts oder lmhosts Datei eintragen und auch so das Problem elegant lösen !
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Letzteres macht aber nur Sinn wenn man nur wenige Clients hat, logischerweise.
Nach dem ich nun einige Zeit testen konnte, kann ich sagen, dass alles einwandfrei möglich.
Es ist möglich einen OpenVPN Server auf einem Windows Server 2008 R2 (als Tor zur Infrastruktur) laufen zu lassen und mittels einer pfSense, in Form eines Alix Gerätes, an diesen anzubinden und das Home Office an die entfernte Domain anzubinden.
Dabei wird nur der Traffic durch den VPN Tunnel geschickt, der auch wirklich für das entfernte Netzwerk bestimmt ist. Der restliche Traffic wird im Home Office abgehandelt.
Vielen Dank an alle Helfer und vor allem ein großes Dankeschön an aqui.
dasgunn
Es ist möglich einen OpenVPN Server auf einem Windows Server 2008 R2 (als Tor zur Infrastruktur) laufen zu lassen und mittels einer pfSense, in Form eines Alix Gerätes, an diesen anzubinden und das Home Office an die entfernte Domain anzubinden.
Dabei wird nur der Traffic durch den VPN Tunnel geschickt, der auch wirklich für das entfernte Netzwerk bestimmt ist. Der restliche Traffic wird im Home Office abgehandelt.
Vielen Dank an alle Helfer und vor allem ein großes Dankeschön an aqui.
dasgunn
Immer gerne wieder
Und...bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Und...bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
