Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Site2Site - wie am besten bei dynamischen IPs?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Site2Site - wie am besten bei dynamischen IPs? (Read 954 times)
NDregger
Jr. Member
Posts: 54
Karma: 0
Site2Site - wie am besten bei dynamischen IPs?
«
on:
November 03, 2023, 12:09:25 pm »
Hallo Freunde der OPNsense,
ich verzweifel aktuell am Thema Site2Site bei uns an der Schule: Wir haben nur zwei Anschlüsse mit dynamischer IP (bekomme ich gerade nicht geändert seitens Schulleitung / Schulträger), weswegen wir nur via DynDNS ein VPN zwischen den beiden Standorten unserer Schule realisieren können.
Wegen der dynamischen IP mit Zwangstrennung (ja, das gibt im November 2023 noch) machen beide OPNsense morgens um 6:00 Uhr die Zwangstrennung um die VPN Tunnel möglichst davon unbeeinflusst zu halten, nur leider bekomme ich sie weder mit IKEv1 noch IKEv2 auch nur einen Tag stabil :-(
Daher mal die hilfesuchende Frage in die Runde: Wie würdet ihr mein Problem angehen, nachdem die OPNsense ja nicht nur IPsec sondern auch OpenVPN und Wireguard beherrscht.
Ich will halt einfach nur stabil und sicher mit den aktuellen Möglichkeiten erreichen, die Schulleitung steigt mir gefühlt täglich aufs Dach :-(
Vielleicht noch zum besseren Verständnis: Bislang liefen beide Standorte mit Bintec Routern, diese mussten aber wegen VDSL 250 und diversen anderen Themen getauscht werden, daher die Grundidee das einfach weiter über IPsec zu realisieren.
Grüße aus dem Schwarzwald
Norbert
«
Last Edit: November 03, 2023, 12:11:53 pm by NDregger
»
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: Site2Site - wie am besten bei dynamischen IPs?
«
Reply #1 on:
November 03, 2023, 12:53:27 pm »
Wie wäre es für rund 5€ pro Monat eine VM in der Cloud zu mieten? Diese hätte eine feste IP-Adresse und beide Firewalls könnten sich zuverlässig z.B. per WireGuard einwählen.
Ich persönlich mache grundsätzlich nichts mit DynDNS - ich kann dir daher leider bei der Baustelle auch nicht helfen. Solange es irgendeinen Teilnehmer in dem Netz mit einer festen Adresse gibt, funktioniert das aber alles prima.
Sollte die erste vorgeschlagene Lösung interessant sein, helfe ich gerne mit konkreter Konfiguration.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
meyergru
Hero Member
Posts: 1684
Karma: 165
IT Aficionado
Re: Site2Site - wie am besten bei dynamischen IPs?
«
Reply #2 on:
November 03, 2023, 03:09:52 pm »
Wireguard macht das ganz gut, allerdings setzt das natürlich funktionierenden DynDNS voraus, plus Aktivieren des Cron-Eintrags, der tote Verbindungen prüft und neu startet. Ich betreibe das mit mehreren Gegenstellen so (OpnSense und Fritzboxen).
Ich würde dazu raten, die Verbindungen beidseitig zu definieren, so dass jede Seite eine Verbindung öffnen kann und die Zwangstrennungszeiten etwas unterschiedlich, dann kann die Seite, die sich gerade neu verbindet, sicher die andere Seite finden (auch mit kleinen Verzögerungen beim DNS).
«
Last Edit: November 03, 2023, 04:44:44 pm by meyergru
»
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
uneu
Full Member
Posts: 137
Karma: 4
Re: Site2Site - wie am besten bei dynamischen IPs?
«
Reply #3 on:
November 03, 2023, 04:19:17 pm »
Hallo Norbert,
ich habe hier IPsec-Verbindungen wie folgt aufgebaut:
Site2Site, OPNsense(NoIP)-IKEv1-Fritzbox(myfritz.net)
Site2Site, OPNsense(NoIP)-IKEv2-OPNsense(DSL, mit fester IP für 5€/Monat)
Wichtig ist unter meine Kennung die Auswahl auf "Eindeutiger Name",
dort musst du die dynamische Adresse eintragen.
Vieleicht hilft das ein wenig weiter.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Site2Site - wie am besten bei dynamischen IPs?
