zwei OPNsense verbinden für die administration

[florit]

Hallo erstmal und grüße in die runde.

bin gerade dabei das Netzwerk um zu gestalten ...
und so soll es mal aussehen (siehe unten) ...
welchen Verbindungsweg typ würdet ihr empfehlen?
IPSec oder Wireguard um die zwei OPNsense zu verbinden.
sozusagen site to site VPN zwischen den OPNsense.
oder ganz was anderes? bin noch nicht so sattelfest bei OPNsense

[viragomann]

sozusagen site to site VPN zwischen den OPNsense.

Das passt nicht zum Titel, wonach du eine Verbindung für die Administration suchst.

Wenn du mit einer VPN schon Erfahrung hast, nimm doch diese.

Im Grunde sind alle geeignet, um auf Hosts auf der anderen Seite zugreifen zu können.
Wireguard ist etwas einfacher zu konfigurieren. Ich selbst hatte es aber nur mal vorübergehend im Einsatz und hatte es verworfen, weil es nicht gut mit CARP funktioniert.
IPSec (Standard, policy-based) passiert direkt im Kernel und hat damit Einschränkungen im Routing. IPSec VPN ist auch sehr robust und hat daher meinen Vorzug, aber im Fehlerfall oft mühsam zum Debuggen. Wenn du aber beide Seiten selbst kontrollierst bzw. auf der anderen Seite kein Idiot sitzt, sollte das kein Problem sein.

Aber grundsätzlich sind für die Verbindung zweier Locations und den gegenseitigen Zugriff beide geeignet, auch für den Transfer größerer Datenmengen.
Bei OpenVPN ist eben TLS und damit Zertifikate für Server und Clients zwingend. Ansonsten läuft das ebenso tadellos. Mit den neuen "Instances" habe ich aber noch keine Erfahrung gemacht.

[florit]

Danke erstmal ... IpSec und IpSec VPN sind nicht das selbe?
Stehe gerade auf dem schlauch...
oder ist der unterschied dass das eine im Kernel läuft und das andere User mod
Würde User mod bevorzugen

[viragomann]

IPSec ist immer VPN.
Seit einiger Zeit gibt es zur herkömmlichen policy-based IPSec aber auch "Virtual Tunnel Interfaces" (VTI, routed IPSec) für Site-to-site. Beim letzteren wird ein Tunnel-Subnetz (Transitnetz) und Interfaces eingerichtet, auf die Remote-Tunnel-IP kann so mit normalen Routing-Regeln geroutet werden. Die Remote-Tunnel-IP kann als Gateway für statische Routen oder für Policy Routing verwendet werden. Also wie es auch mit OpenVPN und Wireguard möglich ist.

Bei policy-based IPSec geht all das nicht. Da werden die Verbindungen zwischen lokalen und entfernten Netzen direkt im Kernel abgehandelt.
Durch das fehlende Gateway funktioniert hier auch kein Reply-to.

[Monviech (Cedrik)]

Es gibt auch IPsec im Transportmodus, da gibt es kein virtuelles privates Netz, also ist es nur ein Pseudo VPN das nur das Payload zwischen zwei Endpunkten verschlüsselt. Eher so im Sinne einer TLS Verbindung.

[Patrick M. Hausen]

Es gibt auch IPsec im Transportmodus, da gibt es kein virtuelles privates Netz, also ist es nur ein Pseudo VPN das nur das Payload zwischen zwei Endpunkten verschlüsselt. Eher so im Sinne einer TLS Verbindung.

Hat man früher gerne genutzt, um doch dedizierte Interfaces z.B. für OSPF zu bekommen.

GRE oder IPIP Tunnel (unverschlüsselt, keine Authentifizierung), und dann IPsec Transport Mode zwischen den beiden Endpunkten. Funktioniert z.B. zw. FreeBSD und Cisco IOS ganz prima.

[bimbar]

BTW ich bin im Team wireguard :) .

Wer macht schon freiwillig IPSEC.

[Monviech (Cedrik)]

IPsec hat sehr viele Zutaten und kann quasi fast jedes VPN Gericht ermöglichen.
Wireguard ist ein fertiggericht das immer gleich ist.

Beides hat vor und nachteile. Ich nehme echt gerne Wireguard wann immer möglich xD

[florit]

@Patrick M. Hausen

es soll eine Möglichkeit geben von der einen fw auf das Webinterface der zweiten fw zuzugreifen
maximal ein client soweit ich gelesen habe soll auch möglich sein.
wie gehe ich das mit IpSec an?
dh was ist dafür alles nötig?
mangels begrenzten wissen suche ich eigentlich eine Lösung bei der es kaum Fallstricke gibt.

was wäre denn die Empfehlung?

[Patrick M. Hausen]

WireGuard  ;)

[florit]

danke

[Patrick M. Hausen]

Du hast bei WG ein dediziertes Interface mit einem Transfernetz drauf. Diese IP-Adressen kannst du dann nutzen, um auf das jeweils entfernte UI zuzugreifen. Das ist m.M.n. sehr schnell und einfach einzurichten.

IPsec tut man sich meist dann an, wenn die Gegenstelle irgendein "Enterprise" Geraffel ist, das nichts anderes kann.

[florit]

sollte so aufgebaut werden wie in der Grafik in meinem ersten post
enterprises hardware ... ohm ja leisten können ist hier eher die frage ...
setze voll auf consumer hardware ... nicht Wirklich aufregendes zeug
kann aber einen uplink mit 2,5Gbit/s ausnutzen was wieder durch den router ausgebremst wird
leider nur ein 5G NSA uplink mit begrenzter Bandbreite ... das was das börserl her gibt...
der router könnte viel mehr als der provider erlaubt ... leider

[Patrick M. Hausen]

enterprises hardware ... ohm ja leisten können ist hier eher die frage ...

Mißverständnis ... "Enterprise" Firewalls wie Cisco, Checkpoint, Fortigate ... das Zeug, das große Firmen so rum stehen haben. Das kann oft nur IPsec und dann meistens nur policy based, und wenn man dann mit einer OPNsense ein VPN zum Kunden aufbauen muss, dann hat man halt IPsec am Hals.

Ich mach das jetzt seit bald 30 Jahren. Man kriegt IPsec ans Fliegen. Eigentlich immer. Und wenn man mal alle Parameter richtig hat, dann ist es natürlich auch stabil - sonst wäre es ja wirklich schon ausgestorben.

Aber es ist einfach unnötig komplex.

Mach dir erst mal keine Gedanken wegen der Hardware oder der Performance und setz WireGuard auf. Im schlimmsten Fall erreichst du nicht ganz den Durchsatz deiner Internet-Uplinks, weil WG recht moderne Crypto-Verfahren einsetzt, für die z.T. noch der Hardware-Support fehlt. Aber darüber kannst du dir ja immer noch Gedanken machen, wenn der Tunnel erst mal steht, ob man vielleicht nicht doch OpenVPN oder leistungsfähigere Kisten nimmt. Falls überhaupt nötig. Ein paar hundert Mbit/s schafft man locker.