Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: hekl on August 28, 2021, 08:16:37 AM

Title: Frage zu Netzwerktopologie / Switch / OpenVPN
Post by: hekl on August 28, 2021, 08:16:37 AM
Hallo.
Ich habe aktuell einen Kunden, der "ganz überraschend jetzt" einen VPN Server bzgl. Homeoffice braucht.

Kurz zur Situation:
- An der bestehenden Verkabelung und Netzwerkkonfiguration etc. darf aktuell nichts verändert werden (das kommt dann in einigen Wochen erfahrungsgemäß).

- Ich überlege aktuell für den OpenVPN Server evt. eine OPNSense zu verweden. Das ist zwar Overload, aber es gibt ein schönes GUI und der OPNsense läuft schön rund. Der Kunde an sich wird zwar nichts dran Arbeiten, aber will immer einen "Einblick" haben. "Konsole only" vs .hübsche GUI ....könnt ihr euch denken ;)

- Nebensächlich: Eventuell kommt er auf den Geschmack das eine Firewall doch irgendwie sinnvoll wäre und garnicht sooo kompliziert ist ;)

Problem/Frage:
Es geht darum das sich Mitarbeiter von aussen verbinden können um die Server etc. im LAN zu benutzen. (Homeoffice)
Ich kann den OpenVPN Server nur an einen bestehenden Switch hängen, an dem auch die ganzen Clients hängen. Es gibt nur ein Subnet. Der vorhandene Standard-Router (Tel.Anbieter) bekommt eine Portfreigabe für OpenVPN.

1) Wie sieht das bzgl. Sicherheit aus, wenn ich vorher über einen Switch gehe ? Wär da nicht ein übergriff auf andere Geräte möglich ? Realistisch ?

2) Ist das Vorhaben so überhaupt mit OPNsense möglich, da ja dann auf dem "WAN" Interface (welches ja faktisch im LAN hängt) und am LAN Interface das gleiche Subnetz / gleicher IP Bereich liegt.


-> Bin wahrlich kein Experte auf dem Gebiet, betreibe aber selbst eine OPNsense seit Jahren und bin sehr zufrieden damit. Einiges an Hintergrundwissen vorhanden, aber so etwas wie oben stellt mich dann doch vor eine Fragen.


Code Select

      WAN / Internet
            :
            :
      .-----+-----.
      |  Router   | (DSL)
      '-+-------+-'
        |       |
     LAN|       |LAN (192.168.1.0/24)
        |       |
.-------+----. .+-----------.   "WAN".------------.
|LAN-SwitchA | |LAN-SwitchB +--------+  OPNsense  | (OpenVPN Server)
'-----+------' '-------+--+-'        '------+-----'
      |                |  |                 |
      |                |  +-----------------+
      |                |
...---+---...    ...---+---...
       (Clients/Servers)




Title: Re: Frage zu Netzwerktopologie / Switch / OpenVPN
Post by: fabian on August 28, 2021, 09:16:53 AM
Ich habe jetzt keine Ahnung, wo deine Server stehen, aber du kannst das WAN der OPNsense problemlos mit dem LAN des Routers verbinden und dann OpenVPN drauf installieren.

Wenn die Verbindung nicht zum Router geht sondern nachher im LAN bleibt, musst du halt die reply-to Konfiguration abschalten, da du sonst im LAN nur mit dem Router reden kannst. Die Netzwerke dürfen sich nicht überlappen, es sei denn, du bringst beide auf eine bridge.

Hosts und FW im gleichen Netz:
Angenommen, dein Router hätte die IP Adresse 192.168.1.1/24, dein OPNsense hat am WAN 192.168.1.2/24 und im VPN 192.168.2.1/24.
Dann muss der Router alles an die 192.168.2.0/24 hosts über die IP Adresse der OPNsense (192.168.1.2/24) erreichen.
Alternativ kannst du dann auf den Routen zurück einfach statische Routen auf den Servern konfigurieren.
Etwas leichter geht es, wenn du alles, was vom VPN-Netz kommt, mit SNAT auf die IP Adresse der OPNsense umschreibt.
Text only | Text with Images