OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest23872 on March 27, 2020, 07:38:10 am
-
Hallo zusammen,
bislang hatte ich einen Anschluss bei der Telekom, habe eine FritzBox betrieben und hatte eine VPN zu der FritzBox meiner Eltern die bei UM sind. Das war total unkompliziert und lief jahrelang problemlos.
Jetzt bin ich zur DG gewechselt (DS-Lite) und bei mir auf eine OPNsense umgestiegen. Meine Frage lautet nun, wie binde ich am besten die FritzBox meier Eltern wieder über VPN an.
Mein Anschluss hat eine IPv6 Adresse, und eine IPv4 Adresse die aber nicht aus dem Internet erreichbar ist. Die FritzBox kann aber, wenn ich das richtig verstehe grundsätzlich kein VPN über IPv6. Mein Frage ist nun, wie würdet Ihr das lösen, aufgrund der Einfachheit und weil Telefonie weiter funktionieren muss möchte ich bei meinen Eltern gern weiterhin mit der Fritzbox arbeiten.
Habt Ihr irgendwelche Erfahrungen mit einem derartig komischen Setup und ggfs. Hinweise oder Denkanstöße wie das am besten zu lösen ist?
Derzeit behelfe ich mir mit einem OpenVPN zwischen zwei Devices in den beiden Netzten die direkt komminiezieren müssen bzw. auch einem Synology QuickConnect damit meine Eltern auf mein Synology Drive zugreifen können (ist aber recht langsam).
Vielen Dank,
Michael
-
Frag doch mal bei deinem Provider ob du den da-lite zu einem richtigen dsl mit einer ip wechseln kannst. Grundsätzlich kannst du ipsec Verbindungen zu einer fritzbox von der opnsense machen (habe ich am laufen)
Gesendet von iPhone mit Tapatalk Pro
-
aber dazu brauche ich, wenn ich das richtig verstehe zwingend eine erreichbare IPv4 Adresse, richtig? Also wäre im Zweifel, also wenn mit die Deutsche Glasfaser keine erreichbare IPv4 gibt (was sie bei Privatkunden vermutlich nicht tun wird) sowas wie feste.ip o.ä. notwendig?
-
haben die keinen firmen tarif?
was spricht dagegen?
alternativ nutzt du ja schon openvpn.
pack bei deinen eltern einen raspi mit openvpn der als server konfiguriert ist und die sense konfigurierst du als client.
System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel
Gesendet von iPad mit Tapatalk Pro
-
Zwischenstand: so, nur dass niemand denkt das Thema hätte sich erledigt - hat sich leider noch nicht aufgelöst ;-)
Wollte dem Tipp mit dem OpenVPN und dem Raspi folgen und habe die letzten Tage mit OpenVPN / feste-ip etc. rumgemacht aber das ganze OpenVPN Thema überhaupt nicht zum fliegen bekommen.
Jetzt habe ich erstmal so viele Schritte zurück gemacht dass ich versuche lokal ein openVPN Tunnel aufzumachen um erstmal die grundsätzlichen Funktionen mit OPNsense zu verstehen. Also von einem normalen Windows PC auf de OPNsense - nur leider klappt derzeit nicht mal das :-( Ich bin also derzeit bei der Grundlagenforschung, vielleicht habe ich mein System grundsätzlich schon "verkonfiguriert". Wenn also diese Basics erstmal laufen, dann kann ich mich damit befassen ein Tunnel zum Raspi ins andere Netz aufzumachen.......
Aber alles wird gut, irgendwann....
-
mein tipp:
- bau dir den raspi als vpn server bei dir zuhause auf, hier das könnte helfen:
https://wiki.ubuntuusers.de/OpenVPN/ - dann zum testen n immst du erstmal einen normalen rechner noch nicht die sense und erstelltst/testest die OpenVPN Client Verbindung
- wenn es klappt kannst du die konfig in deiner sense testen/umzusetzen
so würde ich es machen.
-
Hallo Zusammen,
leider hatte ich in den letzten Monaten keine Zeit mich weiter mit diesem Thema zu beschäftigen, aber jetzt kommt der Herbst da will ich das Thema wieder aufgreifen. Ich hoffe es ist in Ordnung wenn in den Thread wieder aufwärme. Inzwischen hat sich an der Providerituation etwas getan, insofern habe ich mal ein kleines Netzwerkbild angehängt- beide Standorte sind nun bei der Deutschen Glasfaser (DS-lite).
Bislang habe ich eine openVPN Verbindung zwischen den beiden NAS Systemen zur Erstellung eines regelmäßigen Backups von Standort A => Standort B.
Darüberhinaus nutze ich derzeit QuickConnect um von einem Client aus dem Standort B auf das NAS am Standort A (Synology Drive) zuzugreifen.
Im Grunde funktioniert das alles aber ich möchte eigentlich lieber eine S2S Konfiguration haben. Jetzt hatte ich seinerzeit mit OpenVPN und oder IPSec rumprobiert, allerdings habe ich das nicht zum laufen gebracht. Meine Frage ist nun, wäre bspw. Wireguard eine alternative (weil scheinbar schneller als OpenVPN) wenngleich man sagt für produktivbetrieb bzw. Unternehmen vielleicht im Moment noch etwas zu früh - für mich privat denke ich aber sollte das kein Problem sein, oder?
Also am liebsten etwas OPNsense <> Fritz!Box - zur Not würde ich auch noch einen Raspi am Standort B installieren, aber am liebsten wie gesagt OPNsense <> Fritz!Box.
Wir würdet Ihr das angehen, oder gibt es praktisch keine vernünftige Lösung für das Problem?
Viele Grüße und besten Dank für jeglichen Denkanstoß.
Michael
-
Du hast ds-lite, nach meinem Wissen, keine Chance, wenn einer der beiden Standorte wenigstens eine feste oder eine ipv4 hätte könnte es klappen
Gesendet von iPhone mit Tapatalk Pro
-
Wenn die Synology Kisten eine OpenVPN Verbindung hinbekommen, solltest Du die doch auch von der OPNsense zur Fritzbox aufbauen können.
Offenbar ist eine Seite ja doch dazu fähig Pakete von außen durchzulassen.
Welche Seite ist OpenVPN Server? Synology nutzt doch dazu einen eigenen DynDNS Dienst. Schau doch mal, ob sich damit was machen lässt.
Für OpenVPN, IPsec und WireGuard brauchst Du jeweils mindestens eine Seite, die Pakete von außen rein lässt. Offenbar ist das der Fall sonst ginge es zwischen den Synologys nicht. Die werden ja keinen Hub-Service nutzen von Synology.
-
Die Deutsche Glasfaser verwendet Dual-Stack und kein DS-Lite. Das ändert jedoch nichts am Problem, da Du von der DG eine nicht öffentlich routbare IPv4 aus dem Bereich 100.64.x.x erhältst und damit doppeltes NAT.
Da nun beide Anschlüsse über eine nicht öffentlich routbare IPv4 verfügen, hast Du mit klassischen Protokollen wie IPsec und sonstige Technologien, die auf TCP aufsetzen, so gut wie keine Chance einen Tunnel aufzubauen. Über UDP und STUN wäre ein Tunnel theoretisch möglich, allerdings müsste die Implementierung erkennen können, welchen Algorithmus die NAT-Lösungen bei der PAT (Port Address Translation) verwenden und hieraus Annahmen treffen. Bei SOHO-Routern klappt das im allgemeinen, bei CGNAT wird es da sehr schwierig.
Die einzige Möglichkeit, die ich sehe, ist entweder der Einsatz eines TURN-Servers (mit öffentlicher IPv4) oder ein VPN über IPv6 aufzubauen (da scheidet die Fritzbox derzeit leider aus).
-
@Gauss23: na so ganz ohne fummelei klappt das nicht, ich habe eine Portfreigabe auf der FritzBox eingerichtet die den von mir genutzten OpenVPN Port auf die Synology "durchlässt". Die IPv6 Adresse der Synology habe ich dann bei einem dynDNS Anbieter eingetragen und das die Deutsche Glasfaser die IPv6 Adressen praktisch kaum ändert (ich glaube nur wenn man den NT nei startet) funktioniert das im Moment ganz gut. Der OpenVPN Server läuft an Standort B.
@schnipp: vielen Dank für Deine Richtigstellung. Die Fritzbox möchte ich eigentlich nicht rausnehmen (Telefonie, Repeater usw. funktioniert an Standort B bei meinen Eltern perfekt und das sollte möglichst auch so bleiben). Wäre bspw. eine kleine OPNsense vor die FritzBox eine Alternative? Also dann einen Tunnel zwischen den OPNsense (s2s) aufbauen oder handel ich mri dann noch viel mehr neue Probleme ein?
-
Du könntest eine OPNsense Box auf der anderen Seite hinter die Fritzbox klemmen, ohne großen Umbau.
Du kannst dann von Standort A nach Standort B eine OpenVPN Verbindung von OPNSense zu OPNsense aufbauen (selbes Spiel wie bei den Synologies). Das Netzwerk vom OpenVPN Tunnel und das Netz von Standort A kannst Du dann an der Fritzbox von Standort B als statische Route über die lokale OPNsense als Gateway setzen. Dann sollten alle Geräte von Standort A alle Geräte an Standort B erreichen und umgekehrt. Entsprechende Firewall-Regeln vorausgesetzt.
-
Die Fritzbox möchte ich eigentlich nicht rausnehmen (Telefonie, Repeater usw. funktioniert an Standort B bei meinen Eltern perfekt und das sollte möglichst auch so bleiben). Wäre bspw. eine kleine OPNsense vor die FritzBox eine Alternative? Also dann einen Tunnel zwischen den OPNsense (s2s) aufbauen oder handel ich mri dann noch viel mehr neue Probleme ein?
Ich kenne Deine Netzwerkstruktur jetzt nicht genau, aber ich vermute mal, am entfernten Standort hängt die Fritzbox direkt am Glasfasermodem und bei Dir die Opnsense (ohne einen von der DG zwischengeschalteten Router). In diesem Fall könntest Du am entfernten Standort ebenfalls eine Opnsense zwischen Glasfasermodem und Fritzbox schalten und zwischen beiden einen IPsec-Tunnel über IPv6 aufbauen. Die Opnsense würde dann gleichzeitig als Firewall fungieren, und Du kannst die Fritzboxen dann im Clientmodus laufen lassen.
In Praxis habe ich das bei mir in der Vergangenheit probiert, meinen IPv4-IPsec-Tunnel auf IPv6 umzustellen (nur Phase 1), um für die Zukunft gerüstet zu sein, falls mein Provider irgendwann auf die Idee kommen sollte, meine öffentliche IPv4 zu kassieren (ein Recht habe ich darauf nämlich nicht). Geklappt hat es leider damals nicht. Das Problem lag aber nicht direkt am IPsec, die IPv6-Pakete haben irgendwie nicht den Weg zu meinem Internetanschluss zurückgefunden (habe es damals aus Zeitgründen erst mal nicht weiter verfolgt).
Zunächst solltest Du dein anvisiertes Netzwerk-Setup mit den zwei Opnsense hier kurz darlegen. Anschließend wäre es sinnvoll, dass sich hier jemand äußert, welcher bereits einen S2S-Tunnbel über IPv6 (IPsec oder OpenVPN) laufen hat.
Bevor Du die Sache in Angriff nimmst, solltest Du Dich zuvor versichern, dass Deine SIP-Telefonie hinter der Opnsense einwandfrei funktioniert.