Mehrere IPSec-Verbindungen für Site2Site

Started by cklahn, January 21, 2025, 06:47:34 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 21, 2025, 06:47:34 AM
Hallo Forum,
ich habe eine OPNsense zu Hause eingerichtet und eine im Büro. Ich habe zu Hause und im Büro jeweils eine öffentliche IPv4 und beide Boxen sind per IPsec miteinander dauerhaft verbunden. Ich kann gegenseitig auf die gegenüberliegenden Netze zugreifen. Alles gut soweit. Die Notebooks der Mitarbeiter sind per OpenVPN als RoadWarrior an das Firmennetz angebunden. Soweit so gut.
Nun möchte ich einen Kundenstandort per IPsec ebenfalls an die OPNsense der Firma anbinden. Auf einem eigenen Interface soll ein Server stehen, den der Kunde aus seinem Netz erreichen kann. Grundsätzlich sollte ich das hinbekommen, aber bei meiner bereits eingerichteten Site2Site-Verbindung Büro <-> Home konnte ich bei den Tunnel Settings (legacy) die jeweiligen WAN-Adressen angeben und gut war. Der Standort des Kunden hat aber keine feste öffentliche IP. Somit muß seine OPNsense (die wird er noch bekommen) die Verbindung initiieren und meine im Büro muß die Verbindung annehmen. Bei Sophos ging das früher so, daß ich der einen Box sagen konnte, dass sie die Verbindung aufbauen soll. Übersehe ich eine Einstellung bei IPsec?

Zweite Frage: Ich muß doch für jeden weiteren externen Standort, den ich an mein Büro anbinden will, eigene Tunnel-Settings (Phase1 und Phase2) anlegen, oder?

Besten Dank im Voraus.
 
January 21, 2025, 01:47:41 PM #1 Last Edit: January 21, 2025, 01:54:35 PM by userbenutzer
Hi cklahn,

Quote from: cklahn on January 21, 2025, 06:47:34 AMZweite Frage: Ich muß doch für jeden weiteren externen Standort, den ich an mein Büro anbinden will, eigene Tunnel-Settings (Phase1 und Phase2) anlegen, oder?
Ja.

Quote from: cklahn on January 21, 2025, 06:47:34 AMÜbersehe ich eine Einstellung bei IPsec?
Ich kenne nur die legacy Tunnel Einstellungen (und habe mittlerweile auch alle Tunnel auf Wireguard umgestellt )
Da gibt es den Punkt "Connection Method" in Phase 1, wo du eine Seite auf "Start immediate" stellen könntest und die andere Seite auf "Respond only".

Eine mögliche Alternative wäre vielleicht noch die Einrichtung eines DynDNS-Dienstes auf der Kundenseite.

Gruß
January 22, 2025, 06:40:26 AM #2
Gibt es denn überhaupt mit IPsec die Möglichkeit, dass die entfernte Seite, die eine dynamische IP hat, den Tunnel aufbaut und meine Seite mit der festen IP dann entsprechend reagiert?

Falls nein, gibt's überhaupt noch einen kostenlosen DynDNS-Anbieter, bei dem man nicht alle 30 Tage auf irgendeiner Webseite alles wieder bestätigen muss, damit es weiterläuft? Idealerweise einen, den ich als Firma anlege und dann mehrere Kunden damit verwalte...
Print
Go Up Pages1
User actions