VPN Server zur ModBus TCP Brücke
Hallo zusammen,
ich zerbreche mir gerade den Kopf, wie ich das am sinnvollsten aufbaue und dreh mich so langsam im Kreis...
Ich möchte einen Windows Server via VPN mit unbeaufsichtigten (auch örtlich weit auseinanderliegenden) VPN Clients verbinden. Hinter den VPN Clients hängen je 1-2 SPS.
Grundsätzlich soll das VPN-Netzwerk zur ModBus TCP Verbindung verwendet werden, daher wäre auch wichtig, dass die VPN Clients immer mit der gleichen IP (VPN IP) ansprechbar sind.
Der Windows Server hängt in der Cloud hinter keinem von mir verwaltbaren Netzwerk, sondern hat direkt eine öffentliche IP und einen DNS Namen.
Folgende Überlegungen und Fragen hatte ich bisher:
Fragen über Fragen ...
Ich wäre super dankbar um jeden Hinweis oder Tipp über Hard- und Software, was ihr so einsetzt und warum.
Danke und einen schönen Abend!
Chris
ich zerbreche mir gerade den Kopf, wie ich das am sinnvollsten aufbaue und dreh mich so langsam im Kreis...
Ich möchte einen Windows Server via VPN mit unbeaufsichtigten (auch örtlich weit auseinanderliegenden) VPN Clients verbinden. Hinter den VPN Clients hängen je 1-2 SPS.
Grundsätzlich soll das VPN-Netzwerk zur ModBus TCP Verbindung verwendet werden, daher wäre auch wichtig, dass die VPN Clients immer mit der gleichen IP (VPN IP) ansprechbar sind.
Der Windows Server hängt in der Cloud hinter keinem von mir verwaltbaren Netzwerk, sondern hat direkt eine öffentliche IP und einen DNS Namen.
Folgende Überlegungen und Fragen hatte ich bisher:
- openVPN Server auf dem Win-Server errichten. Problem dabei wäre aber in meinen Augen die Firewall. Der Server steht ja offen im WAN und ich muss alles über die Windows Firewall managen - somit auch keine Portweiterleitungen möglich, oder?!
- Zusätzlicher openVPN Server, der aus allen Richtungen erreichbar ist. Problem habe ich dort aktuell nur mit der Zuweisung fester IP-Adressen.
- openVPN überhaupt der richtige Ansatz? Oder macht es mit dem Windows Server ein L2TP/IKEv2 aufzubauen?
- Wie stelle ich sicher, dass die VPN Clients - auch wenn der Server mal neu startet (egal ob VPN Server oder Windows Server) - automatisch so lange versuchen die Verbindung wieder herzustellen, bis diese wieder steht?
- Welche Hardware? Reicht für die Clients z.B. ein GL-MT300N-V2?
Fragen über Fragen ...
Ich wäre super dankbar um jeden Hinweis oder Tipp über Hard- und Software, was ihr so einsetzt und warum.
Danke und einen schönen Abend!
Chris
Please also mark the comments that contributed to the solution of the article
Content-ID: 621506
Url: https://administrator.de/contentid/621506
Printed on: December 3, 2024 at 10:12 o'clock
4 Comments
Latest comment
Hallo,
Für so ein Konstrukt würde sich ein DMVPN anbieten.
Ein zentraler VPN Router und lokale VPN Router.
brammer
Für so ein Konstrukt würde sich ein DMVPN anbieten.
Ein zentraler VPN Router und lokale VPN Router.
brammer
Das VPN Protokoll selber ist ja völlig Wumpe, denn das betrifft ja auch die ersten beiden Fragen aus deinem Fragenkomplex.
OpenVPN ist schon der richtige Ansatz, denn ein SSL basiertes VPN Protokoll ist da leichter zu handeln als IPsec oder L2TP mit IPsec obwohl grundsätzlich damit auch eine Lösung machbar ist.
Arbeiten wir mal den Fragenkomplex ab...
Allerdings ist eine gesicherte Aussage da nicht einfach da du es versäumt hast deine Anforderungen an Bandbreite und Performance hier zu definieren. Bei solcher unpräzisen "Schrotschuß" Frage bleibt uns, wie du dir denken kannst, dann auch nur die bekannte Kristallkugel.
Wo ist also dein wirkliches Problem ??
Als hilfestellende Lektüre seinen dir die die hiesigen OpenVPN Tutorials empfohlen.
Merkzettel: VPN Installation mit OpenVPN
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Clientverbindung OpenVPN Mikrotik
Dort steht alles was du zu dem Thema wissen musst haarklein erklärt.
OpenVPN ist schon der richtige Ansatz, denn ein SSL basiertes VPN Protokoll ist da leichter zu handeln als IPsec oder L2TP mit IPsec obwohl grundsätzlich damit auch eine Lösung machbar ist.
Arbeiten wir mal den Fragenkomplex ab...
somit auch keine Portweiterleitungen möglich, oder?!
Wie kommst du auf Port Weiterleitungen ?? Das ist doch Blödsinn wenn du mit einem VPN arbeitest. Die brauchst du logischerweise nicht. Du verrammelst den Server und gibst lediglich UDP 1194 (OpenVPN) in der Firewall frei und gut iss !Problem habe ich dort aktuell nur mit der Zuweisung fester IP-Adressen.
Das ist bei OpenVPN kein Problem. Jedem VPN Client kannst du auf Basis seine Common Names den du im Client Zertifikat ja definierst immer eine feste OpenVPN IP zuteilen. Client seitig ist das also kein Problem. Die feste öffentliche IP ist auch nicht zwingend nötig, denn beim OpenVPN Server kannst du immer auch mit DynDNS und einem festen Hostnamen arbeiten. Also auch wenn alle Beteiligten Clients und der Server dynamischen IP Adressen an der WAN Vernetzung verwenden kannst du das problemlos lösen.openVPN überhaupt der richtige Ansatz?
Jaautomatisch so lange versuchen die Verbindung wieder herzustellen
Ist ein simpler Parameter in der OpenVPN Konfig Datei und im übrigen Default bei OVPN.Reicht für die Clients z.B. ein GL-MT300N-V2?
Ja, der reicht bei moderaten Bandbreitenforderungen. Ebenso z.B. Mikrotik hAP lite usw.Allerdings ist eine gesicherte Aussage da nicht einfach da du es versäumt hast deine Anforderungen an Bandbreite und Performance hier zu definieren. Bei solcher unpräzisen "Schrotschuß" Frage bleibt uns, wie du dir denken kannst, dann auch nur die bekannte Kristallkugel.
Wo ist also dein wirkliches Problem ??
Als hilfestellende Lektüre seinen dir die die hiesigen OpenVPN Tutorials empfohlen.
Merkzettel: VPN Installation mit OpenVPN
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Clientverbindung OpenVPN Mikrotik
Dort steht alles was du zu dem Thema wissen musst haarklein erklärt.
Besteht die Möglichkeit eines Misch-Betriebs?
Ja, natürlich ! Alles was NICHT separat über den Common Name statisch vordefiniert ist wird weiter aus dem normalen dynamischen Pool mit Adressen bedient.Dabei möchte ich aber nicht für jeden Techniker eine ovpn Konfig erstellen
Das musst du auch nicht ! Diese Konfig wird nur einmal zentral nur auf dem Server erstellt. Die Clients sind alle gleich ! Bitte lies das o.a. OpenVPN Tutorial da sind alle diese Fragen beantwortet !!Die Bandbreite spielt kaum eine Rolle
Dann reichen alle einfachen GLinet Teile oder Mikrotik, Raspberry Pi usw. vollauf.Lese ich mir nochmal in Ruhe durch
Sehr gut ! Wie immer: lesen und verstehen...