Messages

Ich denke es jetzt soweit verstanden zu haben. Da habe ich mir wohl zu viel von der Fritzbox erwartet. :-/

Statt jetzt noch weiter rum zu experimentieren, um zu schauen ob es durch Änderungen in den AllowedIps vllt. doch noch geht, habe ich stattdessen einen separaten Wireguard-Server hinter der Fritzbox aufgesetzt und die statischen Routen zur Hetzner-Cloud und Site '21' gesetzt.
Das funktionierte auf anhieb und ich muss mich nicht weiter mit irgendwelchen Eigenheiten der Fritte auseinader setzen.

Danke euch nochmal für die schnelle Erläuterung @Patrick M. Hausen und @Monviech.

Zunächst einmal sei gesagt, dass ich sehr dankbar für die Hinweise und Impulse bin, lesen und verstehen allerdings 2 paar Schuhe sind. Durchgestiegen bin ich leider noch nicht ganz.

Ich kann die Aussage erstmal so hinnehmen, frage mich dann im folgenden aber warum es möglich ist, dass ich von der OPNsense in Richtung Fritzbox  und dahinter stehende Clients pingen kann, nicht jedoch aus dem Netz hinter der OPNsense.

Ansonsten noch als Anmerkung: Es gibt keine 'andere Fritzbox'. Nur unter Site '22' ist eine im Einsatz.

'Hetzner-Cloud' hat sowohl Site '21' als auch '22' als Peers eingetragen. Die beiden Sites haben widerrum jeweils nur 'Hetzner-Cloud' als Peer eingetragen. Da ich von der OPNsense auf Site '21' sowohl die Fritzbox (192.168.178.1 & 10.66.0.3) als auch ein NAS hinter der Fritzbox (192.168.178.200) anpingen kann, sieht es für mich so aus, dass die Kommunikation grundsätzlich funktioniert.

Aus meiner Sicht fehlt nur der Schritt, dass ich auch von Client's im '21'er Netz rüber ins andere Netz komme.

Moin zusammen,
mir raucht ein bisschen der Kopf. Ziel meines Anliegens ist es 2 Sites (in der Abbildung Site '21' und Site '22') miteinander zu verbinden. Da beide Sites nur dynamische IP's besitzen, soll der ganze Weg über eine dritte Site 'Hetzner-Cloud' laufen. In der Cloud stehen noch keine weiteren Server die in das VPN-Netzwerk integriert werden sollen. Es war nur schonmal gedanklich angedacht, dass das vllt. mal kommt.

Anzumerken ist, dass auf Site '22' eine Fritzbox 7590 im Einsatz ist. Ich komme nicht so recht klar damit, was es bedeutet, dass diese nicht mit einem Transfernetz arbeitet und wie ich das berücksichtigen muss.

Fritzbox-Konfiguration:

[Interface]
PrivateKey = x
ListenPort = 59125
Address = 192.168.178.1/24,10.66.0.3/32
DNS = 192.168.178.1
DNS = fritz.box

[Peer]
PublicKey = x
PresharedKey = x
AllowedIPs = 10.66.0.0/29,172.21.0.0/20,172.23.0.0/20
Endpoint = Hetzner-Host:51820
PersistentKeepalive = 25

Was ich in den OPNsense - Instanzen als Tunnel address und Allowed IP's eingetragen habe, ist im Anhang 'netzwerk.png' zu sehen. Mein Problem findet sich im Anhang 'trace.png'.

Status quo:
- OK   - Zugriff von Client in Site '22' auf Client in Site 'Hetzner-Cloud'
- OK   - Zugriff von Client in Site '22' auf Client in Site '21'
- OK   - Zugriff von Client in Site '21' auf Client in Site 'Hetzner-Cloud'
- OK   - Ping von OPNsense Site '21' auf 10.66.0.3, 192.168.178.1, 192.168.178.200
- ERR - Ping von Client in Site '21' auf Client in Site '22'


Zusammengefasst Clients in Site '21' kommen noch nicht auf Clients in Site '22'. Aktuell habe in OPNsense so konfiguriert, dass im Wireguard-Interface eine any-Regel steckt, welche alles erlaubt.

Auf Site '21' hab ich btw für das Wireguard-Interface noch ein Gateway mit IP 10.66.0.1 konfiguriert und über diesen eine statische Route ins Netzwerk 192.168.178.0/24. Hier schwimme ich allerdings was die Theorie dahinter angeht, insb. bzgl. der Gateway-IP.


Zwei Fragen:
1. Geht meine bisherige Konfiguration in die richtige Richtung, bzw. ist sie soweit schlüssig und korrekt?
2. Was muss ich noch tun, damit ich von Site '21' zu Site '22' komme. Ich habe die Vermutung, dass es irgendwas mit der Fritzbox zu tun hat, bzw. wie diese Wireguard integriert.

Hi zusammen,
vielen Dank schonmal für eure Anmerkungen und Tipps. Ich versuche einmal strukturiert darauf einzugehen.

@meyergru, @trixter:
Ich habe mich in der Vergangenheit bereits etwas intensiver mit dem Thema VPN beschäftigt. Bevor ich die Netzwerke neu einrichte möchte ich (gem. JeGr's Rat) das Thema schonmal grob durchgehen, damit ich auf dem Weg nicht auf unerwartete Probleme stoße.

Der Tipp auf WireGuard zu setzen entspricht auch meinem bisherigen Bauchgefühl welche VPN-Lösung ich einsetzen möchte. Ich frage mich allerdings ob die Lösung via DynDNS der richtige Weg ist. Hintergrund: Neben Site-To-Site plane ich auch ein User-VPN.

Bei WireGuard habe ich diesbezüglich das Problem gehabt, dass der Host nur zum Zeitpunkt des Tunnelaufbaus aufgelöst wird. Habe ich nun bspw. von einem mobilen Endgerät aus das VPN aufgebaut und die lokale WAN-Adresse ändert sich, führt dies zu einem Abbruch im Tunnel (trotz DynDNS), welcher erst durch einen neuen manuellen Verbindungsaufbau behoben werden kann.

Ein wenig Internetrecherche hat mir ein paar Hinweise erbracht, dass ich dieses Problem ggf. mittels eines VPS-Servers mit eigener IP umgehen könnte. Sofern ich das verstehe würden Geräte sich in dem Fall immer mit dem VPS-Server verbinden (welcher als WireGuard-Server dient) und die Sites wären als VPN-Clients angebunden.
Ich bin hier mit der Recherche noch ziemlich am Anfang und weiß auch nicht, ob dies der optimale Weg für mein Setup wäre oder es nicht vielleicht doch alternative Möglichkeiten gibt das Thema mit den dynamischen IP's in Verbindung mit einer möglichst robusten Leitung anzugehen.



@JeGr:
Erst einmal vielen Dank dafür, dass du dir die Zeit für eine so ausführliche Antwort genommen hast. Die Ausführungen zu den IP-Ranges haben mich jetzt schon sehr viel weiter gebracht. Tatsächlich sind die Sites aktuell wirklich so konfiguriert wie du es grade nicht empfiehlst... ^^

Um auf die Fragen zu antworten:
>Sind die IP Ranges bei den Eltern da schon in Betrieb schon fix? Oder kann/wird das alles noch umgestellt?

Ich plane die Netzwerke und eingebundenen Geräte komplett neu zu konfigurieren, u.a. um auch einige Fehler aus der Vergangenheit direkt zu fixen. Dementsprechend können auch die IP-Ranges komplett umgestellt werden.

>OK aber ist das Netz der Eltern wie gesagt schon fix? Sind da IP Ranges schon vergeben? Welche? Kann das ggf. neu geplant werden?

Die IP-Ranges können neu geplant werden. Zum aktuellen Netzaufbau beider Sites werde ich die kommenden Tage noch einen Netzwerkplan erstellen und hier zur Verfügung stellen.


Deine Hinweise zu einem möglichen Netzaufbau werde ich die kommenden Tage auch einmal in einen Netzwerkplan gießen, um das ganze einmal zu visualisieren.

Eine Frage aus deinen Ausführungen hat sich für mich ergeben:

VPN Einwahl: 172.21.15.0/24 (ganzes Netz reservieren, aber ggf. nur ein /26 oder so konfigurieren, damit Platz für Multiple VPNs)

Hier habe ich ich noch eine Wissenslücke was CIDR angeht. Angenommen ich definiere '172.21.15.0/26' für ein VPN und möchte dann noch ein weiteres VPN in dem 24er Netz einrichten. Wie würde ich dann bspw. eine weitere Sub-Range zwischen 172.21.15.63 und 172.21.15.254 definieren?

Inzwischen hat sich mir auch noch eine 2. allgemeine Frage ergeben. Gibt es Best Practices in welches Netz ich das NAS hänge? Aktuell hängt sie mit einem Port im LAN und einem weiteren Port im MGMT (für Pi-Hole).


Ciao

Bestellt habe ich jetzt erstmal folgendes:

- IPU613 mit 16GB RAM und 128GB SSD für mich
- IPU602 mit 8GB RAM und 128GB SSD für Site 2

Sollte sich herausstellen, dass der Arbeitsspeicher auf Sicht knapp wird, kann man den ja auch noch nachträglich aufstocken.

Ich werde mich die kommenden Tage erstmal näher mit Proxmox befassen und im ersten Schritt den Unifi Controller und Pihole angehen.

Wie sieht es mit den anderen Fragen aus? Insbesondere was die Einrichtung des Site-toSite VPN's angeht bin ich momentan sehr planlos und wäre für einen Hinweis dankbar.

Gruß

Moin,
nachdem ich mich die letzten Tage hier lesend rumgetrieben habe, möchte ich nun aktiv werden und eure Expertise einholen. :)

Seit Jahren befasse ich mich immer Mal wieder mehr oder weniger intensiv mit dem Thema 'Netzwerk'. Bis heute habe ich allerdings noch nicht alle meine Anforderungen final umsetzen können. Da ich zusätzlich in der jüngeren Vergangenheit auch einige weniger schönere Erfahrungen mit einigen Tools von Ubiquiti gemacht habe, möchte ich das Thema noch einmal grundlegend neu angehen. Ob ich am Ende die Umstellung versuche selber vorzunehmen oder dies extern gelöst wird, weiß ich noch nicht.

Zunächst aber vielleicht zu meinen Zielen:

• Um eine größere Herstellerunabhängigkeit zu erreichen und flexibler in der Konfiguration zu werden möchte ich das bisher eingesetzte Ubiquiti USG-3P ersetzen. Geplant ist die Einbindung von OPNSense auf einem IPU 602.
• Durch mich betreut werden 2 Heimnetzwerke: Mein eigenes und das meiner Eltern. Beide Netzwerke sollen über ein Site-2-Site - VPN verbunden sein (beide Netzwerke haben leider dynamische public-ip's). Dieses VPN soll unter anderem für Offsite-Backups der in den Netzwerken stehenden NAS-Geräte verwendet werden.
• Für beide Sites sollen folgende Netzwerke eingerichtet werden: Managment, LAN, Gast, Office, IoT
• Als DNS-Server soll eine Pihole-Instanz verwendet werden.
• Auf die NAS-Systeme soll teils auch aus dem Internet zugegriffen werden (bspw. für Zugriff auf den Bitwarden Vault)

.
[/list]


Bevor ich anfange am bestehenden Netzwerk etwas zu ändern möchte ich die Herangehensweise dieses Mal einmal komplett durchplanen bevor ich mitten auf dem Weg auf Probleme stoße, die bereits vorher hätten auffallen können.


Bereits aktuell aufgekommene Fragen:
Welche Software soll auf welcher Hardware laufen?
- Momentan habe ich einen zentralen Unifi-Controller auf einem Cloud Key Gen 2+ laufen, welcher für beide Sites zuständig ist. Pihole und Unbound laufen jeweils als Docker-Image auf dem NAS (je Site) und für Firewall und Routing ist das USG zuständig.
- Was wäre eine optimale Lösung für die Zukunft? Ich habe gelesen, dass ich bspw. auch den Unifi-Controller via Proxmox virtualisieren könnte. Auch Pihole könnte wahrscheinlich auf dem IPU laufen. Was wären Vor- und Nachteile der unterschiedlichen Lösungsansätze? Bzgl. der Robustheit in Update-Szenarien könnte ich mir auch vorstellen 2 Instanzen laufen zu lassen und das Docker-Image als alternativen DNS-Server zu nutzen, falls der primäre einmal ausfällt.
- Ich tendiere zusätzlich dazu beide Sites komplett unabhängig voneinander zu machen (also 2 Controller einzusetzen). Die ursprüngliche Idee alles über einen Controller laufen zu lassen, um direkt ein funktionierendes Site-To-Site einrichten zu können war ein von Ubiquiti kommuniziertes Feature was so leider nie funktionierte.

Wie gehe ich an das Thema Site-To-Site VPN ran? Welche VPN-Lösung bietet sich an und wie gehe ich mit dem Problem 'dynamische IP' am besten um?

Ist die von mir präferierte neu anzuschaffende Hardware https://www.ipu-system.de/produkte/ipu602.html für den Einsatz sinnvoll? Welche SSD und wieviel RAM sollte ich nehmen?
- Aktuelle Bandbreite sind 50 down und 10 up. Ich möchte allerdings zukunftssicher aufgestellt sein, falls ich doch demnächst das Bedürfnis habe mehr Bandbreite zu ordern.

Gibt es noch weitere Dinge die ich beachten sollte, Tutorials oder Seiten die ich durchlesen sollte?


Ich hoffe ich habe es geschafft meine Gedanken halbwegs strukturiert niederzuschreiben. Bei Rückfragen gebt bitte Bescheid. Ansonsten schonmal vielen Dank für die Unterstützung! :)

PS: Ich habe im Anhang einmal einen Netzwerkplan mit der Aufstellung meiner Netzwerkgeräte angehängt. Das Netzwerk meiner Eltern sieht ähnlich aus. Für das Gäste-WLAN werden dort ebenfalls Ubiquiti Access Points. Zur Telefonie und das heimische WLAN sind jedoch noch Geräte von AVM im Einsatz.