OPNsense Forum
International Forums => German - Deutsch => Topic started by: 3x3cut0r on January 09, 2023, 01:14:26 pm
-
Hallo
ich möchte meine PS5 (einzelner Client) über einen eigenen VPN leiten (kein VPN Provider).
Ich hätte als Ziel eine weitere OPNsense (anderer Provider und Internetanschluss) oder einen Debian VPS zur Verfügung.
Welche wäre die einfachste Lösung das zu realisieren (IPsec, OpnVPN, Wireguard) und gibt es dafür schon Tutorials?
Danke
-
OpenVPN hat sich in meinem Fall angeboten, schau mal bei mir in den Thread rein, da ist die Antwort zu deiner Frage.
-
Wie gesagt, ich schau später mal und kann ja gerne das Ergebnis posten inkl. Bilder wenn man die hier ohne weiteres hochladen kann. Das sollte zur Fehlersuche ja dann auch beitragen.
-
Meine Idee war jetzt ein Site2Site VPN mit Wireguard zu erstellen (Local LAN to Local LAN) und dann dem Client als GW einfach die LAN IP der Remote OPNsense zu geben.
Wäre dieser Ansatz so praktikabel?
-
frage, warum willst du dein vpn von deinem server nutzen für deine ps5?
die meisten fragen nach wie sie vpn-provider xyz anbinden können, dazu haben wir mehr als x beiträge hier im forum.
-
naja,
ein vpn-provider kostet wieder geld welches ich mir mit meinem eigenen vpn sparen kann.
-
naja,
ein vpn-provider kostet wieder geld welches ich mir mit meinem eigenen vpn sparen kann.
Wo ist denn dann der Sinn, wenn beide Anschlüsse dir zuzuordnen sind?
-
Ich möchte eigentlich nicht über den Sinn diskutieren, aber ich möchte folgendes Problem mittels VPN beheben: https://telekomhilft.telekom.de/t5/Telefonie-Internet/Apex-Legends-Packet-loss-Packetverlust/td-p/5146004
Was ich nun bereits geschafft habe ist ein Site2Site VPN einzurichten.
Sprich ich kann sowohl zwischen beiden LAN IPs als auch WireGuard IPs pingen, zugreifen, etc ...
Mir fehlt nun nur noch der letzte Step:
Wie bekomme ich den Traffic einzelner oder mehrerer LAN IPs (am besten über Alias) dazu über den VPN Tunnel samt Rückroute geleitet zu werden? Sodass sie quasi auf der gegenseite ins Internet gehen?
EDIT:
kleine Zwischenfrage: mein S2S VPN klappt nur wenn ich beide Öffentliche IPs in die Endpoints eintrage. Mittels duckdns.org adresse klappt es nicht. Wie erreiche ich das dort eine ddns adresse funktioniert? Weil ich ja sonst jeden Tag meine öffentlichen IPs neu eintragen müsste?
-
Verzeihe die Frage nach dem Sinn. Hier sind halt oft auch Leute die nicht nur neu im Thema OPNsense sind, sondern auch im Thema Netzwerk. Da lassen sich viele Probleme mit etwas mehr Background Wissen effizienter oder anders Lösen - daher die Frage nach dem Sinn dahinter.
Wenn die S2S schon mal steht, ist Policy Based Routing dein Freund.
Dafür dann einfach ein Gateway anlegen und die entsprechende Firewall Regel mit Quelle (PS5 IP). Ist aber auch in der Dokumentation ganz gut erklärt.
https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html
Wireguard kann meines Wissens nach kein Dyndns, da der Server nur beim Start des Dienstes aufgelöst wird. Heißt also, ändert sich Nachts die IP, bekommt Wireguard das nicht mit.
Möglich wäre da ein Cron Job der Wireguard z.B. Nachts um 05:00 neu startet
-
...
Wireguard kann meines Wissens nach kein Dyndns, da der Server nur beim Start des Dienstes aufgelöst wird. Heißt also, ändert sich Nachts die IP, bekommt Wireguard das nicht mit.
Möglich wäre da ein Cron Job der Wireguard z.B. Nachts um 05:00 neu startet
Stimmt so nicht (mehr). Es gibt einen vorgefertigten Cron Job, der den WG Tunnel prüft und ggf. neu startet (incl. name resolution). Fehlt in der Doku, ist aber eigentlich kein Problem mehr, solange die opnsense dyndns unterstützt, was von den Entwicklern aber betreits abgesagt ist. Daher Augen auf VOR Updates der opnsense, sonst sind die dyndns Plugins (beide! sollen verschwinden) weg und der Spaß ist vorbei.
-
Ich nutze ddclient und nicht dyndns, da ich bereits gelesen habe, dass dieses plugin deprecated ist und bald wegfällt. Meine Namensauflösung damit funktioniert tadellos auf beiden Seiten mit duckdns.org.
ddclient wird aber langfristig bleiben oder?
Was ich nicht verstehe:
Ich habe auf beiden Seiten eine Lokale Config und den jeweiligen Endpoint von Gegenüber.
Wenn ich auf Site A bei dem Endpoint als Endpoint-Address site-b.duckdns.org eingebe und auf Site B beim Endpoint die Endpoint-Address leer lasse funktioniert alles.
So kann aber immer nur Site A den Tunnel triggern, da nur Site A die Gegenseite kennt, richtig?
Sobald ich auf Site B beim Endpoint auch eine Endpoint-Address (site-a.duckdns.org) eingebe kommt ein Tunnel nicht mehr zustande, da das Interface auf Site B down bleibt.
Warum ist das so?
Ich mein, es ist ja faktisch egal, da mit einem Keepalive von 25 auf beiden Seiten der Tunnel eh nie down geht und es auch reicht wenn eine Seite ihn am Leben hält bzw. immer wieder aufbaut. Verstehe ich trotzdem nicht.
Das mit dem selective routing muss ich mir nochmal näher anschauen.
Danke soweit
//EDIT:
Fehler gefunden ::)
Tippfehler im DDNS Namen ... peinlich
-
Frage: wenn ich mich richtig errinere hattest du zu anfang mal geschrieben das du im internet einen Server mit VPN hast, der muss doch vom Provider eine Feste ip haben, da kannst du ja (musst aber nicht) den DNS nutzen, oder habe ich das falsch verstanden.
-
Nein, es werden BEIDE dyndns Plugins verschwinden. So ist die letzte Ansage von Franco.
-
...
Sobald ich auf Site B beim Endpoint auch eine Endpoint-Address (site-a.duckdns.org) eingebe kommt ein Tunnel nicht mehr zustande, da das Interface auf Site B down bleibt.
Warum ist das so?
...
Das ist auch so nicht korrekt, man kann auf beiden Seiten in den jeweiligen Endpoint die dyndns-Adresse der jeweiligen remote-sense eintragen. Das funktioniert einwandfrei.
-
Ja ich habe einen VPS im Internet und könnte den DNS nutzen. Ich verstehe nicht in wiefern das was ändern würde?
Auch dort muss die dynamische Öffentliche IP der jeweiligen Sites ja per Skript irgendwie täglich eingetragen werden?!
Und in wiefern ist das was anderes als die dyndns Adresse selbst zu verwenden?
Auch dann trage ich ja einen hostnamen in den Endpoint ein.
Nein, es werden BEIDE dyndns Plugins verschwinden. So ist die letzte Ansage von Franco.
OK das ist mir neu. d.h. es wird bald keinen support mehr für dyndns adressen geben?
Krass!
Das ist auch so nicht korrekt, man kann auf beiden Seiten in den jeweiligen Endpoint die dyndns-Adresse der jeweiligen remote-sense eintragen. Das funktioniert einwandfrei.
Wie gesagt bei mir funktioniert das nicht.
Es muss einen Fehler in der Config auf Site B geben wobei ich den nicht finden kann. Anders kann ich es mir nicht erklären.
Der einzige unterschied ist, das Site B zwei WG Schnittstellen hat und Site A nur eine. Sonst sind die Configs identisch.
Gleiche OPNsense Version, gleicher dyndns Provider (duckdns), gleiche Config.
//EDIT: habs oben auch kommentiert. Fehler war ein Tippfehler im DNS Namen.
-
Warum brauchst du an deiner VPC einen dyndns?
- hat dein VPC keine FESTE ip vom Provider?
- welcher Provider/Produkt?
- wir haben z. B. bei AWS einigen VPCs feste IPs verpasst
- wenn du eine eigene domain hast kannst du ja auch die Feste IP vom Provider einfach da eingeben.
FRAGE: bist du beruflich im IT bereich tätig?
-
Warum brauchst du an deiner VPC einen dyndns?
- hat dein VPC keine FESTE ip vom Provider?
- welcher Provider/Produkt?
- wir haben z. B. bei AWS einigen VPCs feste IPs verpasst
- wenn du eine eigene domain hast kannst du ja auch die Feste IP vom Provider einfach da eingeben.
FRAGE: bist du beruflich im IT bereich tätig?
Es handelt sich hier um 2 rein private Internet-Anschlüsse von 2 privaten Haushalten.
Provider ist 1und1 auf beiden Seiten (VDSL2 35b 250/40 und VDSL2 17a 100/40).
Nein diese haben keine feste IP.
Mein VPS welchen ich mal in Erwägung gezogen hatte, hätte eine feste IPv4 und 6. Dieser hat natürlich auch eine eigene Domain. Aber den VPS zu nutzen habe ich bereits verworfen.
Ja ich war Beruflich in der IT tätig. Bin aber privat technischer unterwegs als es Beruflich der Fall war.
-
Wie ist das mit nem S2S VPN.
wenn ich jetzt beide LANs miteinander verbunden habe ... ich habe noch nichts in richtung Selective Routing unternommen ... Wann und Warum entscheidet OPNsense ich route jetzt Traffic eines Clients durch den VPN Tunnel anstatt weiter ins Internet?
Durch ein angelegtes GW welches eine höhere Prio (niedrigerer Wert) hat? oder durch eine Floating Regel?
Ich muss gestehen so schön ausführlich die Dokumentation auch ist ... mir fehlt da ein Schaubild incl. eines Beispiels um es zu verstehen ???
-
Nun das Routing passiert in der Regel über die Ziel ips.
Wenn Client a (192.168.100.1) nach Ziel B(192.168.99.1) will weiß deine Sense auf Seite A das Ziel gehört nicht in mein lokales Netz. Voraussetzung ist aber das die Netze auf beiden Seiten des Tunnels bekannt sind.
Nun hast Du aber etwas anders vor. Soweit ich verstanden habe willst du von Seite A auf das Internet von Seite B zugreifen. Aber nur mit einem Client. Und das geht nur mit einer Regel.
Wenn Client A (192.168.100.1) dann gehe über das Gateway (192.168.99.X).
PS: Ob das Dein Spiele Problem löst mag sein. Aber die Latenzen werden größer, weil die ja zusätzlich durch den Tunnel gehst.
-
Wann und Warum entscheidet OPNsense ich route jetzt Traffic eines Clients durch den VPN Tunnel anstatt weiter ins Internet?
Durch ein angelegtes GW welches eine höhere Prio (niedrigerer Wert) hat? oder durch eine Floating Regel?
Kommt darauf an was für ein VPN du eingerichtet hast.
Bei IPsec wird das bei klassischem IPsec durch die Phase 2 definiert, wer zu wem geroutet wird. Bei IPsec VTI (geroutet) oder OpenVPN oder Wireguard wird meistens nur ein Transfernetz (die beiden virtuellen Endpunkte auf jeder Seite des Tunnels) erstellt und wer oder was darüber geroutet wird, liegt dann an dir. Das sind dann meist bei klassischem S2S VPN eine statische Route auf jeder Seite die auf die andere Seite zeigt - bei OpenVPN kann das durch die Config dann meist selbst direkt beim Aufbauen erledigt, WG und VTI brauchen meist manuell eine statische Route.
Was du aber möchtest ist ja konkret nicht alles darüber zu routen wie normal, sondern lediglich eine einzelne IP. Da kommen PBR - policy based rules - ins Spiel. Also definierst du eine Firewallregel auf dem IF, auf dem die PS5 hängt, als Source die PS5 IP rein und als Ziel dann sehr wahrscheinlich entweder "any" oder "!RFC1918" (also nicht in private Netze - ergo externe IPs) und gibst dort dann als Gateway gezielt das VPN GW ein, das du eingerichtet hast mit deinem VPN. Die Regel muss natürlich über andere die Traffic vom LAN erlauben, also potentiell recht weit/ganz nach oben.
Floating ist da unnötig und IMHO macht es den Regelsatz eher chaotisch wenn man nicht gleich sieht, was wo konfiguriert ist. :)
Ich würde aber drüber nachdenken, das VPN gegen deinen Host/Server im Internet zu bauen, statt zu einem anderen Home Anschluß. Die Heimanschlüsse haben mehr Latency und mit Traffic rein und wieder raus macht es nicht besser. Zudem bist du abhängig davon, was die andere Seite grade macht. Wenn da nen größerer Download läuft o.ä. hast du ggf. im Spiel auch keinen Spaß mehr. Daher würde ich als Host lieber einen VPS o.ä. nutzen. Dort kann man mitunter inzwischen auch relativ einfach ne OPNsense installieren (lassen) und sich das dann auch recht simpel zusammenklicken.
Cheers
\jens
-
OK verstehe, danke!
Ich muss dann wahrscheinlich auf der Gegenseite noch die NAT-Regel anpassen/hinzufügen, sodass die, per statischer Route, geroutete IP Adresse der PS5 dann auch ins Internet ge-NAT-et wird, richtig?
Ich probiere das die Tage mal aus. Bin leider noch nicht dazu gekommen.
Ein Problem hätte ich noch. Das S2S VPN will bei mir nicht mit ner dyndns Adresse. Es funktioniert nur wenn ich die Öffentlichen IPs der Gegenseite in die Endpoints eintrage.
Gibt es dafür noch Lösungen oder soll ich doch mal über OpenVPN nachdenken anstatt Wireguard zu nutzen, wenn da die Namensauflösung so problematisch ist?