OPNsense Forum
International Forums => German - Deutsch => Topic started by: OPNFox on June 22, 2018, 01:45:43 pm
-
Derzeit gibt es folgendes Szenario.
Verfügbar ist 1x eine WAN Verbindung mit Router ohne öffentlicher IPv4 Adresse und 1x über Client VPN mit portunity eine öffentliche IPv4.
Derzeit baut eine QNAP die openvpn Verbindung zu portunity auf als Client VPN. WAN -> public IPv4 ist nur 443 geöffnet, damit ein Client im WAN eine openvpn Verbindung zur QNAP aufbauen kann. (QNAP fungiert als openvpn Client und Server).
Die QNAP hat als normales Standard Gateway den normalen WAN Anbieter Router als GW. Damit die QNAP als openvpn Server fungiert, muss jedoch beim Client VPN mit der public IPv4 der Haken bei "Standard Gateway" gesetzt werden. Das wieder hat zur Folge, dass die QNAP leider für alle Verbindungen über portunity gehen will. Dort heißt es nun jedoch, entweder alle Ports auf oder zu. Port basierte Freigaben gibt es nicht mehr. Somit würde die QNAP ungesichert ohne Firewall im Internet über die Client VPN Verbindung von Portunity stehen.
Daher würde ich gerne eine Firewall konfigurieren und habe als Überlegung Sophos UTM/SG oder OPNsense. Die Firewall muss jedoch beim Routing folgendes handhaben:
- Standard GW soll der normale WAN Anbieter Router sein
- Es wird als Client openvpn VPN eine Verbindung zu Portunity aufgebaut und damit die public IPv4 Adresse bezogen
- Die Firewall dient ebenso als openvpn (443) VPN Server, der auf die public IPv4 Adresse vom Client VPN horcht
- Alle Verbindungen sollen weiterhin über den WAN Anbieter gehen (zum GW) außer die Verbindungen, die über die public IPv4 reinkommen (openvpn), die sollen auch über den gleichen Weg zurück (über das Gateway was von portunity gesetzt wird).
Ich habe etwas nachgeschaut und habe herausgefunden, dass dieses Szenario wohl "Source based Routing" heißt.
Ist dieses Szenario mit OPNsense ohne größere Probleme abzubilden?
Grüße Timo
-
Ich habe nun etwas gefunden was bei OPnsense bei Multi WLAN Reply-to heißt. Das verhindert wohl, dass async. Treffic entsteht.
Kann die Open VPN Verbindung als WLAN Interface mit Reply-to betrieben werden?
-
Hallo Teemoe,
Einen OpenVPN Client kann man unter Interfaces: Assignments neu zuweisen, dann entsteht ein [INTERFACE] und mit diesem dann auch ein Gateway zur Nutzung in den Firewall Regeln.
Grüsse
Franco
-
Vielen Dank Franco.
Gibt es hierzu eine Anleitung, wie genau das dann einzurichten ist mit dem Multi WAN?
Das VPN Interface habe ich in einer Test VPN angelegt. Wie genau ich nun jedoch dann das "Reply-to" für dieses Netzwerk aktiviere weiß ich nicht, oder ist das dann direkt aktiv?
Im ersten Post habe ich hoffentlich verständlich geschrieben, was genau benötigt wird =)
Vielen Dank und Grüße Timo
-
Gibt es hierzu kein How-to für das Einrichten und kann niemand sagen, ob es wirklich genau für so einen Fall wie von mir beschrieben klappt?
-
Hi Timo,
Der Guide ist hier... https://docs.opnsense.org/manual/how-tos/multiwan.html
Sobald das VPN "assigned" ist kann es dafür genutzt werden wie ein physisches Interface. Man sollte allerdings beachten das nur ein WAN trotz VPN kein echtes Multi-WAN ist da der VPN Tunnel ja über das einzige WAN heraus geht. Man kann also höchstens internen Clients verteilen nach bestimmten Firewall-Rule-Kriterien, aber keine Ausfallsicherheit oder Load Balancing (Gateway Groups) herstellen.
Grüsse
Franco
-
Vielen Dank Franco.
Anzunehmen, dass man durch einen VPN Tunnel eine unsichtbare richtige WAN Leitung dazugewinnt, wäre durchaus amüsant =)
In dem Fall geht es lediglich darum, dass aller Traffic über die normale WAN Leitung (öffentlich nur IPv6, IPv4 ist über NAT, also keine öffentliche IPv4) geht.
Damit ein Internetclient sich trotzdem über VPN zum Netzwerk verbinden kann, wird eben portunity genutzt, bei dem eine öffentliche IPv4 Adresse auf das "WAN VPN Interface" gesetzt wird. Somit baut der Internet-Client seine VPN Verbindung zum "WAN VPN Interface" auf.
Damit diese VPN Pakete auch wieder korrekt über das Gateway der "VPN WAN Leitung" zurückgeschickt werden, wird dann eben das Multi WAN mit der physisch vorhanden WAN Leitung und der VPN WAN Leitung benötigt.