IPSEC VPN

[sala82]

Hallo zusammen,

ich habe folgende Situation.

OPNsense soll je eine VPN an unseren Standort zu den 2 Internetleitung aufbauen. Wenn die Hauptleitung ausfällt soll die Backupleitung genutzt werden. Wie kann ich das am besten machen?

Vielen Danke für eure Hilfe.

[micneu]

leider liest sich dein text so als wenn wir wüssten wie dein netz aufgebaut ist.
- bitte zu welchen leitungen sollen ein vpn aufgebaut werden?

bitte mehr informationen und am besten auch einen grafischen netzwerkplan

[sala82]

Die VPNs sollen zu 2 festen IPs aufgebaut werden.

Hauptstandort 2 x Glasfaseranschlüsse Niederlassung 1x Glasfaser. Einen Netzplan habe ich gerade leider nicht.

[micneu]

Ja das ist möglich, wo genau ist jetzt dein Problem?
Bitte mehr infos, so wie ich es rauslese einfach die VPN auf beiden geräten einrichten

Da ich noch nicht ganz verstanden habe:
- willst du den Hauptstandort das sich die Niederlassung auf beiden Glasfaser anschlüssen verbinden kann oder was ist dein Ziel (die lieferst nicht viele infos)
- bist du der admin bei euch im unternehmen?
- was habt ihr an welchem standort (beides male OPNsense?), ist die sense das default gateway?
- den grafischen netzwerkplan kannst du gerne nachliefern
warum ich so auf den grafischen netzwerkplan poche ist da viele vergessen anzugeben ob es da mehrere ip bereich existieren oder wie auch immer die leute ihre netze haben

Gesendet von iPhone mit Tapatalk Pro

[sala82]

Hi,

für den Hauptstandort gibt es nur einen Lan-IP Bereich und 2 WAN IP-Bereiche.

Für den 2ten Standort gibt es einen LAN-IP-Bereich und 1 WAN-IP.

Ich möchte das die erste schnellere Leitung als default VPN genutzt wird und die 2te nur dann wenn die erste nicht zur Verfügung steht.

Die VPNs aufzubauen ist kein Problem. Aber wie kann ich es machen, dass die 2te VPN nur dann genutzt wird wenn die Haupt-VPN nicht geht?

[micneu]

ich bin mir nicht sicher:
- am besten eine virtuelle ip anlegen auf diesem den IPSec tunnel elegen
- in sense von beiden wan`s ein portforward für die ipsec ports
- in der ipsec client config beide feste ip`s der gegenstelle eintragen (bin mir nicht sicher ob das geht)
so würde ich es mit openvpn machen, keine ahnung ob das mit ipsec geht (alternativ kannst du es ja mit openvpn machen)

[JeGr]

> Die VPNs aufzubauen ist kein Problem. Aber wie kann ich es machen, dass die 2te VPN nur dann genutzt wird wenn die Haupt-VPN nicht geht?

AFAIR - keine Garantie - ist es bei zwei Tunneln mit gleichen Phasen2 so, dass der erste der Liste automatisch die Pakete abgreift und der zweite dann nicht dran kommt. Wenn also der zweite auf der langsameren Line liegt, müsste das klappen.

IPsec kann aber nicht schön/sinnvoll ohne Hacks mit MultiWAN bzw. MultiDestinations umgehen. Da gäbe es nur zwei/drei Möglichkeiten die sinnvoller wären:

a) IPsec mit VTI nutzen und zwei Tunnel bauen - einen zu WAN-A1 und einen zu WAN-A2. Dann darauf ne statische Route setzen und notfalls auf das andere GW umstellen wenn nötig. Ansonsten geht eine Failover GW Gruppe IMHO als Ziel nicht(?), daher würde es automatisch dann nur mit FRR+OSPF gehen. OSPF drüber ist dann aber wirklich automatisch, da bekommt man im Normalfall kaum mehr was mit wenn geschwenkt wird.

b) OpenVPN nutzen und die Verbindung vom Standort mit einer Verbindung zu dem Aufbauen, der zwei hat. Dort einen Server konfigurieren, den via Port Forwarding auf beide WANs hören lassen und auf der anderen Seite in der Client Config des Standorts mit nur einer Leitung dann als Ziel beide WANs des anderen Standorts angeben. Dann macht OpenVPN den Failover selbst wenn die Leitung down geht durch Einwahl über die 2. Leitung. Gibts nen kurzen MiniAusfall aber das wars. Nachteil: schwenkt nicht automatisch auf die andere Leitung zurück - das muss man mit kurzem Neustart des Clients dann selbst machen. Dafür gehts im Fehlerfall recht flott und halbwegs automatisch.

c) Wireguard benutzen und die Richtung ggü von OpenVPN umkehren. Heißt der Standort mit einer Leitung ist quasi der Pseudo"Server" (und bekommt als Gegenstelle nix eingetragen, damit er die Verbindung nicht selbst aufbaut). Die Wireguard Instanz auf der Seite mit 2xWAN wird dann einfach ganz normal mit der Gegenseite verbunden. Gibts Ausfall von WAN1 sollte Wireguard über WAN2 automatisch weiter rausgehen. Da WG die Verbindung durch Keys + PSK absichert und nicht auf feste Interfaces hört kann es einfach auf das andere Interface umschwenken und darüber weitersenden. Das klappt oft auch mit Zurückschwenken ganz OKish.

Am Besten bzw. stablisten und automatischsten ist natürlich die "eine Tunnel pro Verbindung" plus OSPF Geschichte, denn dafür ist das Routingprotokoll eben da und gemacht. Ist aber auch weiter entfernt von "einfach"

Cheers