OPNsense Forum
International Forums => German - Deutsch => Topic started by: jmalter on February 02, 2017, 04:18:06 pm
-
Hi zusammen,
bin gerade dabei unsere ach so tollen Astaro ASG-220 Firewalls aus dem Fenster zu werfen. Nicht ganz, da es Standard x86-64 Hardware ist, kommt auf beide nach und nach OPNsense.
Die erste Appliance habe ich nach erstem Studium der Doku bereits mit OPNsense ausgestattet. Ich habe mal aber zwei Anfängerfragen, ob das überhaupt so geht, wie ich mir das vorstelle.
1. IPSec Net->Net und RoadWarrier
Ich benötige 4 IPSec Tunnel (Net->Net) um 4 Standorte anzubinden. Dass das geht weiß ich und ist Standard. Was erschwerend dazu kommt, ich muss gleichzeitig ca. 30 RoadWarrier anbinden. Ich hoffe OPNsense lässt einen Mischbetrieb zu (also Net->Net und Roadwarrier), es gibt etliche wie z.B. IPFire/IPCop bei denen es nicht funktioniert.
2. Carp
Hat eigentlich schon jemand mal CARP auf der WAN Seite mit einem VDSL Anschluß (Modem vorhanden) und nur einer Public IP versucht?
Was ich so in der Doku lese, benötige ich 3 Public IPs. Die bekomme ich aber von unserem regionalen Provider nicht.
Viele Grüße
Jörg
-
Ahoi,
zu 1)
Werden die RWs auch per IPSec angebunden oder ist das egal? Sollte aber m.W. möglich sein.
zu 2)
Ich weiß gerade nicht, wie opnSense bei CARP aufgestellt ist, aber seit FreeBSD 10 (und bei pfSense) ist bei einem CARP Interface nicht mehr länger die Bindung zur NIC IP gegeben. Sprich, das WAN Interface selbst kann bspw. eine private IP haben, die CARP IP kann dann aber die vom Provider vergebene externe IP sein.
Allerdings würde ich VDSL bei einem CARP Setup nie direkt auf der *Sense terminieren, sondern über einen kleinen vorgeschalteten Router erledigen lassen, der lediglich allen Traffic platt auf die CARP VIP dahinter weiterreicht. Dann kann das Setup auch intern richtig aufgebaut werden mit entsprechender IP Vergabe und ist nicht zwingend auf 2 Geräte limitiert und es kann auch nicht durch ein SplitBrain vorkommen, dass versehentlich sich beide CARP Nodes per PPPoE einwählen wollen.
Grüße
Jens
-
Ok ich hole mal ein bisschen weiter aus.
IPSec Net->Net:
Dies sind die 4 Tunnel die ich für die vier verschiedenen Rechenzentren benötige. Die sind fix und werden
über die DPD überwacht. Auf der Gegenseite ist ein kleiner Nano Server mit StrongSWAN mit DPD Config.
OpenVPN:
Die Mitarbeiter können mit ihren MacBooks auch von zu Hause arbeiten, dann allerdings über eine OpenVPN Verbindung.
Bis hierhin ist es erstmal Standard, was jede Firewall kann. Jetzt kommt der Sonderfall, wo z.B. IPFire nicht mitspielt
IPSec Roadwarrier:
Die iPhones, iPads und auch einige Android Geräte benötigen die RW Config. Klar es gibt auch Zusatzsoftware womit man OpenVPN auf deinem iPhone hinbekommt. Aber das ist bei uns nicht gewollt. Also muss es IPSec RW sein.
Und genau darauf zielte meine Frage. Kann OPNsense diesen Mischbetrieb. Also IPSec N->N und RW
Grüße
Jörg
-
IPSec Roadwarrier:
Die iPhones, iPads und auch einige Android Geräte benötigen die RW Config. Klar es gibt auch Zusatzsoftware womit man OpenVPN auf deinem iPhone hinbekommt. Aber das ist bei uns nicht gewollt. Also muss es IPSec RW sein.
Und genau darauf zielte meine Frage. Kann OPNsense diesen Mischbetrieb. Also IPSec N->N und RW
Also ich habe sowohl Roadwarrior als auch Net to Net auf OPNsense laufen gehabt, aber noch nie beides gleichzeitig. Ich würde daher vermuten, dass es funktioniert.
Roadwarrior brauchen aber vermutlich NAT-T, weil ansonsten die Pakete beschädigt werden könnten. Ich könnte mir vorstellen, dass es Probleme mit Roadwarrior-Verbindungen geben kann, die von einer Quell-IP kommen, für die auch ein Tunnel konfiguriert ist.
-
Also ich habe sowohl Roadwarrior als auch Net to Net auf OPNsense laufen gehabt, aber noch nie beides gleichzeitig. Ich würde daher vermuten, dass es funktioniert.
Roadwarrior brauchen aber vermutlich NAT-T, weil ansonsten die Pakete beschädigt werden könnten. Ich könnte mir vorstellen, dass es Probleme mit Roadwarrior-Verbindungen geben kann, die von einer Quell-IP kommen, für die auch ein Tunnel konfiguriert ist.
Es rockt wie Sa.... Nein ehrlich, es läuft sogar richtig gut. Vor allem im Mischbetrieb Net->Net mit PSK und RW mit Zertifikat und Xauth.
War noch nicht mal fummelig, sondern sehr einfach einzustellen.
Dann werde ich mich auch mal an Carp rantrauen. Aber da habe ich jetzt keine große Angst mehr
Gruß
Jörg
-
> Dann werde ich mich auch mal an Carp rantrauen. Aber da habe ich jetzt keine große Angst mehr
Angst muss man da auch keine vor haben :) Aber bei CARP zumindest ein wenig Planung und Fingerspitzengefühl und ein wenig Netzwerk-Ahnung. Da gibt es schon einige DO's und DON'Ts, die man beachten sollte, sonst fällt man da schon auf die Nase (Beispiele: VHID Vergabe, virtuelle MAC, Services auf CARP IP binden, etc.)
-
Hallo Jörg,
bist du schon weiter mit dem CARP Teil?
Ich möchte genau dasselbe machen.
Habe aktuell statische IP via PPPoE, damit die Firewall auch die statische IP hat, dort enden einige IPSEC Verbindungen, auch OpenVPN zur Einwahl.
Jetzt würde ich gerne CARP benutzen, da schonmal eine Firewall "ausfällt", d. h. bei mir, der Host startet neu (Firewall ist virtualisiert), aber auch ein Hardware-Fehler ist ja durchaus denkbar.
Viele Grüße
andi
-
@andi:
Ich würde empfehlen das mit einem externen DSL Router zu realisieren. Was ganz einfaches und simples, was dann ordentlich weiterleitet auf die CARP VIP der beiden Sensen dann. PPPoE Einwahl mit CARP ist ein wenig zweispältig (so mein letzter Stand). Im dümmsten Fall hast du 2 PPPoE Sessions auf beiden Sensen offen, das ist dann eher kontraproduktiv ;)
-
@Jörg
Danke!
Ich habe gestern den Router so umgestellt, dass er selber PPPoE macht, und dann per NAT alles auf die Firewall IP umgeleitet - bzw. alle Ports, wo das ging, einer im 30000er Bereich war reserviert.
Jetzt habe ich aber mit IPSEC Probleme, alle Verbindungen zeigen NAT-D an, und einige funktionieren nicht mehr.
Noch eine Verständnisfrage: es gibt doch nur externe (VDSL) Router? Sowas als Karte oder USB Stick gibt es doch seit 56k/ISDN Zeiten nicht mehr? Weil du von einem externen Router sprichst.
-
Ich mutmaße mal dass du mich mit Jörg meinst, stimmt nur nicht ganz :D Aber immerhin 3 von 4 Buchstaben passen :P
> Ich habe gestern den Router so umgestellt, dass er selber PPPoE macht, und dann per NAT alles auf die Firewall IP umgeleitet - bzw. alle Ports, wo das ging, einer im 30000er Bereich war reserviert.
Nicht schön. Hat der Router keine Einstellung für exposed Host oder eine sonstige Einstellung, die einfach ALLES auf eine weitere IP weiterschickt? Je nach (schlechtem) Hersteller heißt sowas dann auch DMZ oder sonstwie. Einfach nur alle Ports weiterleiten, damit ist es nicht getan, es muss alles - also auch alle Protokolle, nicht nur TCP/UDP weitergeleitet werden. Das könnte sonst auch dein IPsec Problem erklären, denn da werden noch zusätzlich andere Protokolle benötigt.
> es gibt doch nur externe (VDSL) Router? Sowas als Karte oder USB Stick gibt es doch seit 56k/ISDN Zeiten nicht mehr? Weil du von einem externen Router sprichst.
Nope nicht mehr. Bspw. gibt es von Draytek inzwischen den DSL Modem/Router auch als PCIe Steckkarte.
-> http://www.draytek.de/vigornic-132-serie.html
Damit ist sowas prinzipiell auch integriert möglich.
Das extern bezog sich aber mehr auf "außerhalb der *Sense" und ggf. ist sowas auch ein Providerrouter, also wirklich extern, denn was ich selbst nicht kontrolliere(n kann), ist von der Behandlung für mich gleichzusetzen wie "extern" oder "WAN" also potentiell unsicher. :)
Grüße
Jens
-
@Jens
Ups.. ich bitte um Verzeihung!
Zumindest habe ich dein Geschlecht nicht verwechselt, das ist mir in letzter Zeit auch schonmal passiert, beim schnellen Überlesen von Namen..
Ja, DMZ gab es auch, aber du hast recht, daran hatte ich gar nicht gedacht. An sich müßte ich die lokale WAN IP der *sense als DMZ Rechner eintragen. Vielleicht probiere ich das nochmal. Macht so etwas eine IPSEC Verbindung nicht.. instabiler? Ich frage, weil ich so schon an einigen Verbindungen ordentlich lange rumgefrickelt habe, bis sie (halbwegs) stabil liefen. Da sind 10 unbekannte Firewalls auf der jeweils anderen Seite..
Es ist übrigens ein Telekom Zyxel. Von den Optionen her scheint er ok zu sein, nur unendlich langsam in der Oberfläche, und ich bin die Fritzboxen gewohnt, da weiß ich mittlerweile, an welcher (teilweise auch unerwarteten) Stelle ich etwas finde.
Ein anderes Problem, das ich hatte, war, dass ich in dem Setup mit NAT und ohne Bridge dann den Zyxel aus dem LAN nicht mehr erreichen konnte. Ich hatte mir dafür vorher extra noch ein 2. Interface auf das WAN gelegt und die IP vom Zyxel verschoben, das ich dann jedoch wieder gelöscht hatte. Aber das sollte das kleinste Problem sein, irgendetwas noch nicht korrekt konfiguriert.
-
Ach Namen und Geschlechter sind Schall und Rauch :)
IPsec instabiler? Weshalb? Es geht nur darum, vom DSL Router ALLES an Daten zu bekommen und nicht nur eine Teilmenge. Das Einzige was "problematisch" sein kann ist, dass man eben an der Stelle Doppeltes NATting hat, allerdings haben wir das auch im Einsatz und auch andere Gegenstellen von verschiedenen Herstellern ohne Probleme. NAT-T hat da einiges an Problemen gelöst.
Notwendig ist das bei IPsec weil hier nicht nur UDP 500/4500 benötigt wird, sondern auch ESP als Protokoll. Wird das nicht weitergeleitet kommt der Tunnel später auch nicht zu Stande.
Den Zyxel solltest du doch problemlos vom LAN aus über die IP erreichen, über die er auch das Gateway für die beiden Sensen spielt? Alles andere wäre seltsam. Eine zweite IP musst du dem Zyxel deshalb nicht verpassen.
Grüße
-
Die IP des Routers hatte ich geändert, weil er erst von früher eine lokale IP im LAN hatte (die IP spielt im Bridge Modus ja keine Rolle). Da konnte ich also der *sense keine IP in demselben Subnetz geben. Also (noch) ein neues Subnetz aufgemacht für das Interface.
Als Gateway hatte er funktioniert, k. A. warum der Rest nicht ging, da hatte ich nach einigen Stunden aufgegeben. (Fehlersuche, wenn man gerade den Internetanschluß verkonfiguriert hat, dauert ewig.. war auch der 10. Fehler beim versuchten Umbau).
Dann werde ich diese Tage nochmal einen Anlauf starten.
Wenn das mit DMZ/doppeltem NAT ordentlich laufen sollte, bin ich ja mal gespannt, das ganze soll ja dann in CARP bzw. HA enden, und einen zweiten Router (LTE) möchte ich auch noch anschließen, falls mit dem VDSL mal was sein sollte.
-
Aus zeitlichen Gründen bin ich noch nicht dazu gekommen. Werde aber sofort berichten, wenn alles läuft.
Wir haben ein reines DSL Modem davor, keinen Router. Ich werde es auch nur mit dem DSL Modem und einem Switch probieren.
Viele Grüße
Jörg