Site-to-Site-VPN von Lancom 884VA (client) nach OPNsense - wie geht das?

[BüroMensch]

Hilfe wird gesucht

thx im Voraus!

MfG

[Patrick M. Hausen]

Welche VPN-Protokolle unterstützt dieser Lancom? IPsec? OpenVPN? WireGuard?

Das kläre zuerst, dann guck dir die Doku für OPNsense und dieses Lancom-Teil an.

Mit konkreten Fragen bist du hier dann natürlich jederzeit willkommen. So ist es ein wenig zu allgemein - was denkst du, wieviele Leute genau eine OPNsense und einen Lancom 884VA und ein VPN zwischen diesen beiden haben? Meine Schätzung ist Null bis maximal eins.

Also ein wenig Recherche darfst du m.E. schon selbst machen. Fangen wir an mit "welche VPN-Protokolle kann dieses Lancom-Dings?"

Liebe Grüße
Patrick

[Lochkartenknipser]

Hallo BüroMensch,

wie Patrick schon schreibt, gib mal ein paar mehr Informationen.
Denn eine 884VA kann eine Telekomversion sein oder Lancom normal. Gibt es auf der Lancom noch mehrere VPN-Tunnels? denn die Telekomversion kann nur 3 gleichzeitige IPSec-Tunnel (v1 oder v2). Ansonsten mußt Du eine Enterprice Option kaufen. Dann hast Du 5 gleichzeitige Tunnels.
Das einrichten eines IPsec-Tunnels (das ist das VPN, das die Lancom spricht) ist kein größeres Problem. Auf der Lancom den Tunnel mit den Lantools vorkonfigurieren und dann die Feinheiten anpassen. Auf der OPNsense den gegenpart konfigurieren und das wars. Firewallregeln nicht vergessen.

Grüße
Markus

[BüroMensch]

@Patrik & Markus, vielen Dank und sorry für meine faule Bequemlichkeit. Ich habe recht wenig Infos zur Verfügung gestellt.

Meine Firma plant an allen Standorten (16) den Provider zu wechseln. Geplant sind an allen Orten VDSL100 Mb/s und Telefonie SIP Trank mit 8 Kanälen. Da wir aus technisch-wirtschaftlichen Gründen noch alte ISDN-Telefonanlagen betreiben, muss hier eine Umsetzung von Trank auf 4 x ISDN S0 statt finden.
Das können heute meiner Recherche nach nur noch 3 Geräte und zwar der Lancom R884VA, Audiocodes Mediant 500L und Audiocodes Serie 800.
Jetzt haben wir an allen Orten noch zusätzlich zu der Telefonie-Leitung, eine Internetleitung und FritzBox als Router. Die FritzBoxe bauen eine site-to-site VPN über Wireguard zu unserer OPNsense in der Zentrale. Ich muss sagen, VPN funktioniert wirklich gut und wireguard ist wirklich einfach zu realisieren.

Leider kann der Lancom R884VA (original) kein wireguard und site-to-site kann man aber mit IPsec realisieren.

Ich habe schon im Lancom-Forum etwas gefunden aber der Helfer kennt sich mit OPNsense nicht aus.


Lancom site-to-site VPN nach OPNsense

Also die Lancom-Routers sollen praktisch die FritzBoxen ersetzen und wir können auf die zusätzliche Internetleitungen dann verzichten.

Vielleicht hat schon jemand solche Installationen am Laufen, dann bitte um Tipps.

Vielen Dank!

MfG

[dmark]

Moin!

Grundsätzlich würde ich sagen: Bei Deiner gegebenen Aufgabenstellung ist meiner Meinung nach die Lancom-Variante in den 16 Standorten die günstigste Variante. Allerdings ist der Lancom R884VA bereits "End-of-Sale". Und das "End-of-Life"-Datum steht auch bereits fest: Oktober 2028, also in nur 3 Jahren. Die neueren Lancom-Geräte scheinen aber alle max. 2 ISDN-Ports zu haben. Wenn ihr also mit max. 4 Sprachkanälen auskommen würdet, wäre ein neueres Modell hinsichtlich der Firmware-Unterstützung möglicherweise sinnvoller.

Mit den Lancom Routern kann man relativ problemlos IPSEC-Verbindungen zu einer OPNsense aufbauen, sowohl IKEv2 also auch das alte IKEv1 laufen.
Die Authentifizierung mit Preshared-Key läuft in aller Regel problemlos. Bei lokaler und entfernter Identität würde ich jeweils eine Mailadresse eintragen (also FQUN).
Eine Authentifizierung mit Zertifikaten ist ebenfalls machbar. Allerdings muss man bei der Erstellung der Zertifikate SEHR genau aufpassen, welche Daten (DNS-Name, IP, Mailadresse) man in die SAN-Felder ausfüllt. Hier ist meiner Erfahrung nach StrongSwan beim Plausibilitätscheck im Verbindungsaufbau SEHR pingelig. Meine Erfahrung: Es ist viel Frickelei, irgendwann geht es und man weiß nicht wirklich, warum.
Pre-Shared-Key ist dagegen deutlich einfacherer, aber tendenziell auch etwas unsicherer.

[osmom]

@BüroMensch: Frage doch deinen neuen Provider ob  er dir nicht die 4 ISDN S0 Busse bereitstellen kann? Ein SIP-Paket ist auf der WAN-Strecke leider empfindlich, so meine Erfahrung.