OPNsense Forum
International Forums => German - Deutsch => Topic started by: Ralf Kirmis on October 25, 2018, 01:26:38 pm
-
Moin Moin,
ich bräuchte mal eine Idee zu einem Aufbau eines neuen VPN Netzwerkes.
Es gibt eine Zentrale und ca. 20 Aussenstellen mit jeweils 2 - 3 IP Netzen in den Aussenstellen.
Es soll jetzt eine VPN Lösung geschaffen werden, das alle Aussenstellen und die Zentrale
so miteinander verbunden werden, das jeder mit jedem kommunizieren kann.
Den ersten Gedanken eines Full Mesh Policy Based IPSEC Netzwerks kann man auch gleich wieder verwerfen,
weil die Konfig, der dann benötigten Tunnel möchte keiner machen.
Bei einer Juniper Lösung würde man auf eine Hub-and-Spoke Lösung setzen, was einem Route Based IPSEC Tunnel entsprechen würde.
Ich möchte aber keine Juniper, sondern OPNSense einsetzen. 8)
Gibt es mit der OPNSense eine Möglichkeit, die Juniper Hub-and-Spoke Lösung mit jeweils nur einem Tunnel in die Aussenstelle nachzubilden und den Traffic dann per Routing auf die verschiedenen Aussenstellen zu lenken?
Es muss auch kein IPSEC sein, geht das z.B. mit Wireguard?
Danke schon mal für Eure Ideen.
Ralf
-
> so miteinander verbunden werden, das jeder mit jedem kommunizieren kann.
Kurzer Einwurf gleich zu Beginn: Jeder mit Jedem als "Spinnennetz" oder Außenstellen mit Außenstellen via Zentrale? Also eher Core-Netz Design?
> Den ersten Gedanken eines Full Mesh Policy Based IPSEC Netzwerks kann man auch gleich wieder verwerfen,
Zitat von einer IPv6 Konferenz und IPSEC: "Wenn du Lebenszeit schonen willst, nimm OpenVPN und hab Spaß" :D
> Hub-and-Spoke
Sorry kenne ich nicht, kannst du uns erhellen was genau das sein soll?
> mit jeweils nur einem Tunnel in die Aussenstelle nachzubilden und den Traffic dann per Routing auf die verschiedenen Aussenstellen zu lenken?
OK Rückfrage: Ein Tunnel von Zentrale in Außenstellen X bis Y. Somit N Tunnels. Und darüber soll jeder mit jedem sprechen können, korrekt? Wenn ja, das geht. OpenVPN. Läuft. Von Vorteil ist da nur eine schöne ordentliche IP Vergabe der Außenstellen und der Zentrale, sonst könnte es unschöner werden, aber gehen tut's.
> Es muss auch kein IPSEC sein, geht das z.B. mit Wireguard?
OpenVPN :)
Gruß
-
Hallo JeGr,
es soll ein VPN Spinnennetz werden.
Hintergrund ist hier eine Telefon Anlage in der Zentrale, in den Aussenstellen sind nur IP Telefone.
Diese sollen mit der Zentrale sprechen, klar. Ruft jetzt eine Aussenstelle eine andere Aussenstelle an,
dann läuft die Ruf Signalisierung über die Anlage, die Gesprächsdaten laufen dann direkt zwischen den Telefonen in der Aussenstelle 1 und Aussenstelle 2.
Da jede Aussenstelle jede andere anrufen können soll, brauchen wir dieses Spinnenetz. So die Aussage des Supporters der Telefon Anlage.
Mein Traum mit der OPNSense:
Ein Tunnel von der Zentrale in jede Aussenstelle ob mit OPENVPN, Wireguard, egal
Die Daten laufen von der Aussenstelle in die Zentrale dort über die Firewall Regeln und dann in eine andere Aussenstelle zurück.
Wobei es in der Aussenstelle mehrere IP Netze gibt und die Aussenstellen aber lokal in das Internet sollen, dieser Traffic soll nicht über
die Zentrale laufen.
In der Zentrale gibt es die 192.168.1.0/24 und 192.168.3.0/24
Aussenstelle 1 hat die 192.168.2.0/27 und Aussenstelle 2 hat die 192.168.2.32/27 und 192.168.4.0/24
Mit welchen OPENVPN Einstellungen in der Aussenstelle 2 mit Ihren zwei Netzen, bilde ich den Tunnel in die Zentrale,
mit dem Netz der Zentrale und dem Netz für die Aussenstelle 1 ab?
Was gebe ich dort als Remote Netzwerk an?
Hub-and-Spoke ist in Juniper Sprech ein IPSEC Tunnel mit einem Netz 0.0.0.0/0 auf jeder Seite und ich bestimme per IP Route auf
ein Tunnel Interface, welches IP Netz in welchen Tunnel gesteckt wird.
Liebe Grüße,
Ralf
-
> So die Aussage des Supporters der Telefon Anlage.
Wirklich? Interessant, ich habe einen anderen großen Kunden, bei dem ~20 Außenstellen per OVPN an der Zentrale hängen. VoIP. Telefone in den Standorten sind mit der Anlage in der Zentrale verbunden und können darüber auch fein telefonieren. Selbst wenn die sich untereinander anrufen haben die kein Problem, dass jetzt A1 mit A2 verbunden sein müsste nur weil die miteinander telefonieren. Das wundert mich dann schon. Allerdings würde für den Zweck (VoIP ist ja nicht so mächtig) auch eine A1->Z->A2 Erreichbarkeit vollauf genügen, oder?
> Die Daten laufen von der Aussenstelle in die Zentrale dort über die Firewall Regeln und dann in eine andere Aussenstelle zurück.
Also so wie von mir im letzten Satz beschrieben? Ja klar, das ist machbar.
> In der Zentrale gibt es die 192.168.1.0/24 und 192.168.3.0/24
> Aussenstelle 1 hat die 192.168.2.0/27 und Aussenstelle 2 hat die 192.168.2.32/27 und 192.168.4.0/24
Autsch. Das ist irgendwie ein bisschen gruselig. Vor allem das geteilte 2er Netz und dann noch zusätzlich das 4er für A2? Puh...
Gibts irgendeine Möglichkeit das ggf. im Zuge dessen vielleicht ein wenig "gerade zu ziehen"? Wahrscheinlich nicht...?
> IP Route auf ein Tunnel Interface, welches IP Netz in welchen Tunnel gesteckt wird.
Ah routed IPSec mutmaßlich. OK, alles klar. Das gibbet ja seit jüngstem in FreeBSD und bei den Cousins von pfSense auch. Vielleicht läuft das ja auch bald hier mit drin.
Anyway:
> Mit welchen OPENVPN Einstellungen in der Aussenstelle 2 mit Ihren zwei Netzen, bilde ich den Tunnel in die Zentrale,
Nunja, die Netze sind wie gesagt ein wenig "dreckig", das ist natürlich echt schade. ABER: sollte trotzdem mit den entsprechend größeren Masken machbar sein. Meine Idee wäre ungefähr so:
- Tunnel von Z nach A1 und A2
- Mehrere Tunnel OVPN mit PSK Site2Site
- Zentrale hat lokal jeweils .1.x und .3.x und Remote die oben angegebenen Netze genau(!) eingetragen
- A1 hat .2.0/27 als lokal und 192.168.0.0/16 als remote eingetragen
- A2 hat .2.32/27 und .4.0/24 und 192.168.0.0/16 als remote eingetragen
Da du sowohl bei local als auch remote mehrere Netze eintragen kannst, sollte das Routing da dann kein Problem sein, die Außenstellen habens da einfacher, weil sie einfach 192.168/16 komplett durch den Tunnel schicken und somit sowohl die andere(n) AUßenstellen als auch die Zentrale mit drin haben.
Dann noch passende Firewallregeln und es lüppt :)
Gruß