wireguard Netz zu Netz verbindung mit LTE Fallback

[bforpc]

Hallo,

ich suche nach einem Lösungsvorschlag für folgendes Fallback Szenario. Gegeben sind dabei folgende Resourcen:

* Firmenstandort ist mit Glasfaser angeschlossen
* Zusätzlich gibt es einen LTE Router, welcher aber keine echte IPv4 besitzt und somit keine Dienste dahinter nutzbar macht
* Server bei Hetzner auf welchem eine OPNsense VM (mit dedizierte IPv4) läuft. Die VM läuft nur für diesen Zweck.

Im Falle des Ausfalls der Glasfaserleitung, soll über den LTE Router ein Zugriff auf öffentliche Dienste des Firmennetzes möglich sein (die Umstellung der Domainnamen auf IP wird manuell gemacht, also kein Automatismus nötig).

Dazu ist es notwendig, dass die OPNSense im Firmennetz eine Wireguard Verbindung zum Hetzner OPNsense Wireguard aufbaut, damit dieser Kanal als Zugriff ins Firmennetz genutzt werden kann.
Die OPNsense im Firmennetz ist aber auch gleichzeitig "Server", da sich Clients mit ihr verbinden. Diese würde im Falle des Fallbacks wegfallen (ist zu verschmerzen). Die Idee wäre, dass die Clients sich dann mit der OPNsense auf dem Hetzner Server verbinden und dadurch der Zugriff aufs Firmennetz wieder möglich wäre.

Das ist mein erdachtes Konstrukt.
Ist das so möglich?
Für Verbesserungs- und Umsetzungsvorschläge wäre ich sehr dankbar.

Bfo

[lfirewall1243]

Mal als Idee.

Ich würde die Hetzner VM immer als Punkt für die Verbindungen von außen nutzen und die Firmen OPNsense baut immer eine VPN dort hin auf, worüber der Traffic läuft.
So muss beim Ausfall der Leitung 1 nur das Gateway in der OPNsense angepasst werden (oder automatisch).

[bforpc]

Hallo lfirewall1243,

danke für deinen Vorschlag.
Unser Problem dabei ist aber, das sehr viel Traffic in die Firma läuft (in/out) - das ist der Hauptgrund, weswegen die Daten nicht gleich in der Cloud liegen (sehr viele und große Druckdaten).
Mit deinem Vorschlag würde dann immer alles über den Hetzner Server geroutet.

Was mir aber gerade einfällt: ich könnte eine 2. OPNsene VM installieren, welche nichts anderes mach, als die Verbindung zur Hetzner OPNsense her zu stellen - über den LTE Router. Dieses Konstrukt ist im Normallfall deaktiviert (oder gar offline) und wird nur gestartet, wenn ein Ausfall der Glasfaser Leitung besteht.

Das routing für den Zugriff über Hetzner OPNsense-> (wg tunnel) -> Firmen OPNsense ist aber auch nicht trivial...
Da bräuchte ich Hilfe.

bfo

Bfo

[lewald]

Moin bforpc,

Die Datenmenge spielt doch da gar keine Rolle?

Die OPNsense in der Cloud ist doch nur Relay. Sie schleust die Daten weiter.

Ich würde im übrigen in solch einem Fall eher einen kleinen Root Server bei Hetzner mieten. Mit Promox drauf und OPNsense dort als VM. Nebeneffekt kann sein sowas wie Seafile für die Kunden zum Datenaustausch dort aufzubauen. Als eigene VM.

So machen wir das.

[bforpc]

Moin bforpc,

Die Datenmenge spielt doch da gar keine Rolle?

Die OPNsense in der Cloud ist doch nur Relay. Sie schleust die Daten weiter.

Ich würde im übrigen in solch einem Fall eher einen kleinen Root Server bei Hetzner mieten. Mit Promox drauf und OPNsense dort als VM. Nebeneffekt kann sein sowas wie Seafile für die Kunden zum Datenaustausch dort aufzubauen. Als eigene VM.

So machen wir das.

So machen wir das ja auch. Rootserver mit Proxmox und OPNsense als VM.
Die "Hetzner" OPNsense ist nicht nur Relay. Wenn generell alles über diese läuft, läuft auch der gesamt traffic darüber. Das sind täglich ~ 1TB ...
Das dauert zu lange. Nur für den Fallback wäre es eine Option, nicht aber für den Standard Fall.

Was mich zu dem "howto" bringt. Welche OPNsense soll welche Rolle spielen?

Bfo