10
Zentrale OPNsense, mehrere Standorte, gleiche Lokale IP
Hallo und Guten Abend,
Habe da eine spezielle Anforderung.
Es gibt eine zentrale OPNsense. An diese OPNSense sind kleine Router an verschiedenen Standorten mit Wireguard (Client) anschlossen. Hinter diesen Router befinden sich PCs die per RDP gesteuert werden.
Ein roter PC verbindet sich per RDP mit einem grünen PC.
Problem ist das sich die Locale IP Adressen (172.16.1.0/24) sich nicht ändern lassen.
Wie lässt sich das Problem lösen da, ja an jedem Standort das gleiche Netzwerk besteht.
Zur Veranschaulichung eine kleine Zeichnung:
Vielen Dank.
Grüße
Habe da eine spezielle Anforderung.
Es gibt eine zentrale OPNsense. An diese OPNSense sind kleine Router an verschiedenen Standorten mit Wireguard (Client) anschlossen. Hinter diesen Router befinden sich PCs die per RDP gesteuert werden.
Ein roter PC verbindet sich per RDP mit einem grünen PC.
Problem ist das sich die Locale IP Adressen (172.16.1.0/24) sich nicht ändern lassen.
Wie lässt sich das Problem lösen da, ja an jedem Standort das gleiche Netzwerk besteht.
Zur Veranschaulichung eine kleine Zeichnung:
Vielen Dank.
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670673
Url: https://administrator.de/forum/zentrale-opnsense-mehrere-standorte-gleiche-lokale-ip-670673.html
Ausgedruckt am: 14.01.2025 um 10:01 Uhr
10 Kommentare
Neuester Kommentar
Wie lässt sich das Problem lösen da, ja an jedem Standort das gleiche Netzwerk besteht.
Gar nicht. Bei sich überschneidenden Netzen ist das nicht möglich, da ja bereits die zentrale OPNSense nicht weiß, wohin mit den Paketen. Selbst mit NAT wäre das eine sehr große Bastelbude und eigentlich nicht möglich. Wieso lassen sich die Netze hinter den Wireguard-Clients nicht ändern?
Hallo,
man könnte mit Transfer-Netzwerken mit NAT arbeiten.
Also 172.16.10.0/24 -> Süden
Also 172.16.11.0/24 -> Norden
Das ist aber ziemlich gefummel und wird Dich in Zukunft die eine oder andere Nervenzelle kosten.
Ich weiß Du willst es nicht hören.
Ändere die IPs der Standort.
Oder man verbindet sich per VPN nicht mit der Zentrale sondern direkt dem Standort.
Stefan
man könnte mit Transfer-Netzwerken mit NAT arbeiten.
Also 172.16.10.0/24 -> Süden
Also 172.16.11.0/24 -> Norden
Das ist aber ziemlich gefummel und wird Dich in Zukunft die eine oder andere Nervenzelle kosten.
Ich weiß Du willst es nicht hören.
Ändere die IPs der Standort.
Oder man verbindet sich per VPN nicht mit der Zentrale sondern direkt dem Standort.
Stefan
Das ist aber ziemlich gefummel und wird Dich in Zukunft die eine oder andere Nervenzelle kosten.
Aber auch nur, wenn man Zugriff auf die Remote-Router hätte. Durch welchen ich dann aber auch gleich das ganze Netz dahinter anpassen könnte, womit NAT obsolet wird.
Oder man verbindet sich per VPN nicht mit der Zentrale sondern direkt dem Standort.
Oder das.
+1 für Änderung. Geht nicht, gibt es nicht, und das führt nur zu Kopfschmerzen. Jede Alternative löst ein Vielfaches an Problemen aus im Vergleich zum Aufwand einer Änderung.
Moin,
Gruß,
Dani
Wie lässt sich das Problem lösen da, ja an jedem Standort das gleiche Netzwerk besteht.
ich würde auf 1:1 NAT zurück greifen. Machen wir an Standorte, welche durch Zukäufe hinzugekommen, auch. Bis nach und nach (4-5 Jahre) alle Geräte mal getauscht, etc. werden mussten. Manchmal lässt es sich nicht vermeiden, ohne eine großen Kostenblock zu generieren.Gruß,
Dani
2
Ich sage +1 für GAR NICHT [sinnvoll]
WENN diese Standorte zusammen gewachsen sind und zufällig die gleichen IP-Bereiche haben ...
... OK, dann muss man eben komplett neu planen und die Bereiche dividieren ...
Wenn da aber jemand bewusst so'n Sch% geplant hat ...
... ist der hoffentlich nicht mehr im aktiven Dienst um bei der Bereinigung noch mehr Bullshit zu bauen....
... die Vorgabe, bei zu evtl zu verbindenden Netzen keine überschneidenden Bereiche zu haben, Ist so alt wie DFÜ und Routing ...
WENN diese Standorte zusammen gewachsen sind und zufällig die gleichen IP-Bereiche haben ...
... OK, dann muss man eben komplett neu planen und die Bereiche dividieren ...
Wenn da aber jemand bewusst so'n Sch% geplant hat ...
... ist der hoffentlich nicht mehr im aktiven Dienst um bei der Bereinigung noch mehr Bullshit zu bauen....
... die Vorgabe, bei zu evtl zu verbindenden Netzen keine überschneidenden Bereiche zu haben, Ist so alt wie DFÜ und Routing ...
ich würde auf 1:1 NAT zurück greifen.
Wenn die "kleinen Router" des TO das können, dann ist natürlich auch das eine Alternative.
Zitat von @wissens-hunger:
Problem ist das sich die Locale IP Adressen (172.16.1.0/24) sich nicht ändern lassen.
Technischer oder organisatorischer Grund?Problem ist das sich die Locale IP Adressen (172.16.1.0/24) sich nicht ändern lassen.
Hi,
NAT an den "kleinen Routern" wurde ja schon genannt. Sowas muss man auch nicht verteufeln, das ist ganz normal. Und das wäre hier m.E. auch die pragmatischste Lösung.
Ein andere Möglichkeit wäre eventuell noch VPN über VPN. Wenn man also die "kleinen Router" parallel auch als VPN-Server einrichten könnte, dann könnte man vom "roten PC" über den "großen Tunnel" einen "kleinen Tunnel" direkt zum Router des jeweiligen Standorts herstellen. Keine Ahnung ob praktikabel. Das ist nur so eine Idee.
NAT an den "kleinen Routern" wurde ja schon genannt. Sowas muss man auch nicht verteufeln, das ist ganz normal. Und das wäre hier m.E. auch die pragmatischste Lösung.
Ein andere Möglichkeit wäre eventuell noch VPN über VPN. Wenn man also die "kleinen Router" parallel auch als VPN-Server einrichten könnte, dann könnte man vom "roten PC" über den "großen Tunnel" einen "kleinen Tunnel" direkt zum Router des jeweiligen Standorts herstellen. Keine Ahnung ob praktikabel. Das ist nur so eine Idee.
Problem ist das sich die Locale IP Adressen (172.16.1.0/24) sich nicht ändern lassen.
Gibt es dafür einen wirklich triftigen Grund? Normalerweise supportet das jeder billige Baumarkt Router und würde dir eine Menge unnötiger und aufwändiger Konfig Arbeit (Adress Translation) ersparen.Du hast ja schon einen grundsätzlichen und fundamentalen Design Fehler mit der gleichen IP Netzadressierung begangen den eigentlich nichtmal mehr Laien machen. Einzigartige Adressierung von IP Netzen gehört zum Grundwissen TCP/IP und weisst du vermutlich auch selber.
Wenn, dann kannst du sowas nur sehr aufwändig mit NAT (Network Adress Translation) auf allen Seiten ändern, was eine erhebliche Erschwernis beim Setup und auch beim späteren Management darstellt.
Du solltest dir also reiflich überlegen ob du das auf dich nehmen willst oder mit einem einfachen Mausklick das IP Netz änderst und den grundsätzlichen Fehler wasserdicht beseitigst.
Da vermutlich dort so oder so DHCP zum Einsatz kommt und da jeder Baumarkt- oder China Router sowas kann wäre das der deutlich intelligentere Weg sofern nicht wirklich gravierende Gründe dagegen sprechen. Die Kollegen oben haben es ja schon mehrfach gesagt.
