VPN L2TP for Clients (Win/Apple)

[werom-IT]

Hi!

Ich nutze üblicherweise eine Windows-Maschine mit 2 Netzwerkkarten: 1x WAN, 1x LAN
Darauf installiert ist SoftEther VPN Server installiert. Dieser funktioniert wie folgt:
Ein User erhält L2TP shared Key, Username und Passwort. Der User hinterlegt diese Daten im Windows/Apple/Linux/allenSystemen und eine Verbindung funktioniert, sodass der User eine interne IP-Adresse vom internen DHCP-Server erhält. Keine Fake-IP im VPN-Netz.

Dasselbe würde ich gerne mit OpnSense abbilden.
Es gibt weiterhin shared-key, user und Passwort und ein User erhält eine interne IP durch den internen Dhcp, nur nicht über eine eigene Windows-Maschine mit eigener WAN sondern mit Opnsense.

Ich habe das in Opnsense nicht geschafft und egal was ich einstelle, es klappt nicht.
Kann das Opnsense überhaupt oder ist das nur für um 2 Standorte miteinander zu vernetzen?

Lg, Roman

[Patrick M. Hausen]

Du könntest OpenVPN mit tap Interface versuchen. Ich nehme von Layer2-VPNs Abstand, weil sie meiner Erfahrung nach mehr Ärger machen als nützen, aber jeder wie er mag. Prinzipiell sollte das mit tap funktionieren.

Zerotier hat wohl ebenfalls einen Bridge-Mode. Wireguard ist geroutet, damit geht's nicht.

[JeGr]

Kommt auch darauf an was man mit TAP VPN erreichen will. Es gibt auch mit Tun OVPN Möglichkeiten diverse Dinge zu tun ohne dass man Bridgen muss und sich den ganzen Stress antut

[werom-IT]

Hi!
Danke für eure Antworten aber das geht in die falsche Richtung.
Ich frage zu L2TP an und es wird mir OpenVPN angeboten?

L2TP deswegen weil es ins Windows-VPN eingetragen werden kann ohne Zusatzsoftware und auch Apple/MacOS/Ipad akzeptiert dieses VPN und verbindet ohne zusätzliche App.
Also das einfachst mögliche. Und das einfachst mögliche hätte ich gerne genutzt.

Aber wenn das nicht möglich ist oder es nur 2 Antworten zu OpenVpn gibt würde ich meine Anfrage gern anders stellen:

Was muss an die Windows-VPN-Server weitergeleitet werden, sodass der Windows-VPN-Server nicht eine eigene WAN-IP benötigt?
Dieses GRE-Protocol und nur 1-2 Ports?
Hat schon jemand mal ein L2TP-VPN von der Firewall/Opnsense an einen anderen Computer weitergeleitet sodass der andere Computer die Verbindung mit dem Client aufbaut?
So muss ich leider immer eine eigene WAN-IP fürs VPN zur Verfügung stellen und das würde ich gerne auf nur eine WAN-IP insgesamt reduzieren.

Wie wäre das möglich?

[JeGr]

> Also das einfachst mögliche. Und das einfachst mögliche hätte ich gerne genutzt.

Lustig dass du das erwähnst Mag im ersten Moment vielleicht "das einfachste" sein, weil man keine Zusatzsoftware will (wobei das schon lustig ist, eine App auf Mobile oder eine mini-MSI und man hat Ruhe aber gut). Nur sind das wieder alles komplett andere Geräte die jeder wieder mit IPsec so ihre tollen Sachen machen und jeder (Windows, Äpfel Mobil, Äpfel Rechner) wieder gern mal andere Macken mit ins Spiel bringt.

Hatte ich vor ein paar Jahren als "muss unbedingt so sein" requirement bei einem Kunden. Nachdem man dann ständig dran musst, irgendwas immer geklemmt hat und wenn Win10 mal ging, wollten plötzlich Apfel-Handys nicht mehr etc. etc. war dann doch plötzlich eine App installieren völlig simpel. Vor allem weil man die gleiche einfache Konfiguration für jeden Client hatte. Und das ganze noch ans AD angedockt und mit 2. WAN dann ausfallsicher aufgebaut hat.

Ich will dich da gar nicht von IPsec bzw. L2TP umbiegen auf OVPN, aber "einfach" ist gerade im Kontext von IPsec und L2TP oft ein vielfach überstrapazierter Begriff

Da ich leider mit dem verwendeten Client und aktuell IPsec kein Testsystem habe, kann ich da zum Stand gerade nichts zu sagen, sorry.

Cheers