chrisproud
Goto Top

VPN Server zur ModBus TCP Brücke

Hallo zusammen,

ich zerbreche mir gerade den Kopf, wie ich das am sinnvollsten aufbaue und dreh mich so langsam im Kreis...

Ich möchte einen Windows Server via VPN mit unbeaufsichtigten (auch örtlich weit auseinanderliegenden) VPN Clients verbinden. Hinter den VPN Clients hängen je 1-2 SPS.
Grundsätzlich soll das VPN-Netzwerk zur ModBus TCP Verbindung verwendet werden, daher wäre auch wichtig, dass die VPN Clients immer mit der gleichen IP (VPN IP) ansprechbar sind.
Der Windows Server hängt in der Cloud hinter keinem von mir verwaltbaren Netzwerk, sondern hat direkt eine öffentliche IP und einen DNS Namen.

Folgende Überlegungen und Fragen hatte ich bisher:
  • openVPN Server auf dem Win-Server errichten. Problem dabei wäre aber in meinen Augen die Firewall. Der Server steht ja offen im WAN und ich muss alles über die Windows Firewall managen - somit auch keine Portweiterleitungen möglich, oder?!
  • Zusätzlicher openVPN Server, der aus allen Richtungen erreichbar ist. Problem habe ich dort aktuell nur mit der Zuweisung fester IP-Adressen.
  • openVPN überhaupt der richtige Ansatz? Oder macht es mit dem Windows Server ein L2TP/IKEv2 aufzubauen?
  • Wie stelle ich sicher, dass die VPN Clients - auch wenn der Server mal neu startet (egal ob VPN Server oder Windows Server) - automatisch so lange versuchen die Verbindung wieder herzustellen, bis diese wieder steht?
  • Welche Hardware? Reicht für die Clients z.B. ein GL-MT300N-V2?

Fragen über Fragen ...

as1d23a21sd3ads

Ich wäre super dankbar um jeden Hinweis oder Tipp über Hard- und Software, was ihr so einsetzt und warum.

Danke und einen schönen Abend!
Chris

Content-ID: 621506

Url: https://administrator.de/contentid/621506

Printed on: December 3, 2024 at 10:12 o'clock

brammer
brammer Nov 12, 2020 at 21:06:49 (UTC)
Goto Top
Hallo,

Für so ein Konstrukt würde sich ein DMVPN anbieten.

Ein zentraler VPN Router und lokale VPN Router.


brammer
aqui
aqui Nov 13, 2020 at 08:20:13 (UTC)
Goto Top
Das VPN Protokoll selber ist ja völlig Wumpe, denn das betrifft ja auch die ersten beiden Fragen aus deinem Fragenkomplex.
OpenVPN ist schon der richtige Ansatz, denn ein SSL basiertes VPN Protokoll ist da leichter zu handeln als IPsec oder L2TP mit IPsec obwohl grundsätzlich damit auch eine Lösung machbar ist.
Arbeiten wir mal den Fragenkomplex ab... face-wink
somit auch keine Portweiterleitungen möglich, oder?!
Wie kommst du auf Port Weiterleitungen ?? Das ist doch Blödsinn wenn du mit einem VPN arbeitest. Die brauchst du logischerweise nicht. Du verrammelst den Server und gibst lediglich UDP 1194 (OpenVPN) in der Firewall frei und gut iss !
Problem habe ich dort aktuell nur mit der Zuweisung fester IP-Adressen.
Das ist bei OpenVPN kein Problem. Jedem VPN Client kannst du auf Basis seine Common Names den du im Client Zertifikat ja definierst immer eine feste OpenVPN IP zuteilen. Client seitig ist das also kein Problem. Die feste öffentliche IP ist auch nicht zwingend nötig, denn beim OpenVPN Server kannst du immer auch mit DynDNS und einem festen Hostnamen arbeiten. Also auch wenn alle Beteiligten Clients und der Server dynamischen IP Adressen an der WAN Vernetzung verwenden kannst du das problemlos lösen.
openVPN überhaupt der richtige Ansatz?
Ja
automatisch so lange versuchen die Verbindung wieder herzustellen
Ist ein simpler Parameter in der OpenVPN Konfig Datei und im übrigen Default bei OVPN.
Reicht für die Clients z.B. ein GL-MT300N-V2?
Ja, der reicht bei moderaten Bandbreitenforderungen. Ebenso z.B. Mikrotik hAP lite usw.
Allerdings ist eine gesicherte Aussage da nicht einfach da du es versäumt hast deine Anforderungen an Bandbreite und Performance hier zu definieren. Bei solcher unpräzisen "Schrotschuß" Frage bleibt uns, wie du dir denken kannst, dann auch nur die bekannte Kristallkugel. face-sad
Wo ist also dein wirkliches Problem ??
Als hilfestellende Lektüre seinen dir die die hiesigen OpenVPN Tutorials empfohlen.
Merkzettel: VPN Installation mit OpenVPN
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Clientverbindung OpenVPN Mikrotik
Dort steht alles was du zu dem Thema wissen musst haarklein erklärt.
chrisproud
chrisproud Nov 13, 2020 at 08:50:58 (UTC)
Goto Top
Hallo aqui,
vielen Dank für die ausführliche Antwort!
Zuerst mal: Natürlich hast du recht und die Punkte wie Portweiterleitung sind Blödsinn - war gestern ein langer Tag und durch das Lesen von X Lösungsansätzen war die Birne zu.

Zitat von @aqui:
Problem habe ich dort aktuell nur mit der Zuweisung fester IP-Adressen.
Das ist bei OpenVPN kein Problem. Jedem VPN Client kannst du auf Basis seine Common Names den du im Client Zertifikat ja definierst immer eine feste OpenVPN IP zuteilen. Client seitig ist das also kein Problem.
Besteht die Möglichkeit eines Misch-Betriebs? Beispielsweise IP Bereich 1-20 wird für Server und VPN Clients über die Common Names vergeben und 21+ ist für den "Service Zugriff" verschiedener Techniker in das Netz? Dabei möchte ich aber nicht für jeden Techniker eine ovpn Konfig erstellen, da das mittelfristig auch ein Chaos gibt. Da soll es 1-2 verschiedene Zugänge geben, die eben von den Technikern genutzt werden können, auch zeitgleich.

Reicht für die Clients z.B. ein GL-MT300N-V2?
Ja, der reicht bei moderaten Bandbreitenforderungen. Ebenso z.B. Mikrotik hAP lite usw.
Allerdings ist eine gesicherte Aussage da nicht einfach da du es versäumt hast deine Anforderungen an Bandbreite und Performance hier zu definieren. Bei solcher unpräzisen "Schrotschuß" Frage bleibt uns, wie du dir denken kannst, dann auch nur die bekannte Kristallkugel. face-sad
Sorry - das habe ich verpasst. Die Bandbreite spielt kaum eine Rolle, da nur ein ModBus TCP Signal über die Clients läuft. Einzige Stelle mit ein bisschen mehr ist der Server zum Zeitpunkt eines RDP Zugriffs.

Als hilfestellende Lektüre seinen dir die die hiesigen OpenVPN Tutorials empfohlen.
Merkzettel: VPN Installation mit OpenVPN
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Clientverbindung OpenVPN Mikrotik
Dort steht alles was du zu dem Thema wissen musst haarklein erklärt.
Lese ich mir nochmal in Ruhe durch und versuche openVPN dadurch etwas besser zu verstehen!

DANKE!
aqui
Solution aqui Nov 13, 2020 updated at 09:00:29 (UTC)
Goto Top
Besteht die Möglichkeit eines Misch-Betriebs?
Ja, natürlich ! Alles was NICHT separat über den Common Name statisch vordefiniert ist wird weiter aus dem normalen dynamischen Pool mit Adressen bedient.
Dabei möchte ich aber nicht für jeden Techniker eine ovpn Konfig erstellen
Das musst du auch nicht ! Diese Konfig wird nur einmal zentral nur auf dem Server erstellt. Die Clients sind alle gleich ! Bitte lies das o.a. OpenVPN Tutorial da sind alle diese Fragen beantwortet !!
Die Bandbreite spielt kaum eine Rolle
Dann reichen alle einfachen GLinet Teile oder Mikrotik, Raspberry Pi usw. vollauf.
Lese ich mir nochmal in Ruhe durch
Sehr gut ! Wie immer: lesen und verstehen... face-wink