VPN eines einzelnen Clients (PS5) über die OPNsense

Started by 3x3cut0r, January 09, 2023, 01:14:26 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
January 09, 2023, 01:14:26 PM
Hallo
ich möchte meine PS5 (einzelner Client) über einen eigenen VPN leiten (kein VPN Provider).

Ich hätte als Ziel eine weitere OPNsense (anderer Provider und Internetanschluss) oder einen Debian VPS zur Verfügung.

Welche wäre die einfachste Lösung das zu realisieren (IPsec, OpnVPN, Wireguard) und gibt es dafür schon Tutorials?

Danke
OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
         \/
on Proxmox 8.0
         \/
on Minisforum HM90
January 09, 2023, 04:40:11 PM #1
OpenVPN hat sich in meinem Fall angeboten, schau mal bei mir in den Thread rein, da ist die Antwort zu deiner Frage.
January 09, 2023, 10:03:24 PM #2
Wie gesagt, ich schau später mal und kann ja gerne das Ergebnis posten inkl. Bilder wenn man die hier ohne weiteres hochladen kann. Das sollte zur Fehlersuche ja dann auch beitragen.
January 10, 2023, 09:02:49 AM #3
Meine Idee war jetzt ein Site2Site VPN mit Wireguard zu erstellen (Local LAN to Local LAN) und dann dem Client als GW einfach die LAN IP der Remote OPNsense zu geben.
Wäre dieser Ansatz so praktikabel?
OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
         \/
on Proxmox 8.0
         \/
on Minisforum HM90
January 10, 2023, 05:10:33 PM #4
frage, warum  willst du dein vpn von deinem server nutzen für deine ps5?
die meisten fragen nach wie sie vpn-provider xyz anbinden können, dazu haben wir mehr als x beiträge hier im forum.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
January 11, 2023, 01:27:38 PM #5
naja,
ein vpn-provider kostet wieder geld welches ich mir mit meinem eigenen vpn sparen kann.
OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
         \/
on Proxmox 8.0
         \/
on Minisforum HM90
January 11, 2023, 01:35:03 PM #6
Quote from: 3x3cut0r on January 11, 2023, 01:27:38 PM
naja,
ein vpn-provider kostet wieder geld welches ich mir mit meinem eigenen vpn sparen kann.
Wo ist denn dann der Sinn, wenn beide Anschlüsse dir zuzuordnen sind?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
January 11, 2023, 11:52:33 PM #7 Last Edit: January 11, 2023, 11:54:50 PM by 3x3cut0r
Ich möchte eigentlich nicht über den Sinn diskutieren, aber ich möchte folgendes Problem mittels VPN beheben: https://telekomhilft.telekom.de/t5/Telefonie-Internet/Apex-Legends-Packet-loss-Packetverlust/td-p/5146004

Was ich nun bereits geschafft habe ist ein Site2Site VPN einzurichten.
Sprich ich kann sowohl zwischen beiden LAN IPs als auch WireGuard IPs pingen, zugreifen, etc ...

Mir fehlt nun nur noch der letzte Step:
Wie bekomme ich den Traffic einzelner oder mehrerer LAN IPs (am besten über Alias) dazu über den VPN Tunnel samt Rückroute geleitet zu werden? Sodass sie quasi auf der gegenseite ins Internet gehen?

EDIT:
kleine Zwischenfrage: mein S2S VPN klappt nur wenn ich beide Öffentliche IPs in die Endpoints eintrage. Mittels duckdns.org adresse klappt es nicht. Wie erreiche ich das dort eine ddns adresse funktioniert? Weil ich ja sonst jeden Tag meine öffentlichen IPs neu eintragen müsste?
OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
         \/
on Proxmox 8.0
         \/
on Minisforum HM90
January 12, 2023, 07:57:25 AM #8
Verzeihe die Frage nach dem Sinn. Hier sind halt oft auch Leute die nicht nur neu im Thema OPNsense sind, sondern auch im Thema Netzwerk. Da lassen sich viele Probleme mit etwas mehr Background Wissen effizienter oder anders Lösen - daher die Frage nach dem Sinn dahinter.


Wenn die S2S schon mal steht, ist Policy Based Routing dein Freund.
Dafür dann einfach ein Gateway anlegen und die entsprechende Firewall Regel mit Quelle (PS5 IP). Ist aber auch in der Dokumentation ganz gut erklärt.
https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html

Wireguard kann meines Wissens nach kein Dyndns, da der Server nur beim Start des Dienstes aufgelöst wird. Heißt also, ändert sich Nachts die IP, bekommt Wireguard das nicht mit.

Möglich wäre da ein Cron Job der Wireguard z.B. Nachts um 05:00 neu startet
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
January 12, 2023, 08:07:12 AM #9
Quote from: lfirewall1243 on January 12, 2023, 07:57:25 AM
...
Wireguard kann meines Wissens nach kein Dyndns, da der Server nur beim Start des Dienstes aufgelöst wird. Heißt also, ändert sich Nachts die IP, bekommt Wireguard das nicht mit.

Möglich wäre da ein Cron Job der Wireguard z.B. Nachts um 05:00 neu startet

Stimmt so nicht (mehr). Es gibt einen vorgefertigten Cron Job, der den WG Tunnel prüft und ggf. neu startet (incl. name resolution). Fehlt in der Doku, ist aber eigentlich kein Problem mehr, solange die opnsense dyndns unterstützt, was von den Entwicklern aber betreits abgesagt ist. Daher Augen auf VOR Updates der opnsense, sonst sind die dyndns Plugins (beide! sollen verschwinden) weg und der Spaß ist vorbei. 
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 12, 2023, 09:44:30 AM #10 Last Edit: January 13, 2023, 01:10:26 PM by 3x3cut0r
Ich nutze ddclient und nicht dyndns, da ich bereits gelesen habe, dass dieses plugin deprecated ist und bald wegfällt. Meine Namensauflösung damit funktioniert tadellos auf beiden Seiten mit duckdns.org.
ddclient wird aber langfristig bleiben oder?

Was ich nicht verstehe:
Ich habe auf beiden Seiten eine Lokale Config und den jeweiligen Endpoint von Gegenüber.
Wenn ich auf Site A bei dem Endpoint als Endpoint-Address site-b.duckdns.org eingebe und auf Site B beim Endpoint die Endpoint-Address leer lasse funktioniert alles.
So kann aber immer nur Site A den Tunnel triggern, da nur Site A die Gegenseite kennt, richtig?
Sobald ich auf Site B beim Endpoint auch eine Endpoint-Address (site-a.duckdns.org) eingebe kommt ein Tunnel nicht mehr zustande, da das Interface auf Site B down bleibt.
Warum ist das so?
Ich mein, es ist ja faktisch egal, da mit einem Keepalive von 25 auf beiden Seiten der Tunnel eh nie down geht und es auch reicht wenn eine Seite ihn am Leben hält bzw. immer wieder aufbaut. Verstehe ich trotzdem nicht.

Das mit dem selective routing muss ich mir nochmal näher anschauen.
Danke soweit

//EDIT:
Fehler gefunden  ::)
Tippfehler im DDNS Namen ... peinlich
OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
         \/
on Proxmox 8.0
         \/
on Minisforum HM90
January 12, 2023, 09:50:47 AM #11
Frage: wenn ich mich richtig errinere hattest du zu anfang mal geschrieben das du im internet einen Server mit VPN hast, der muss doch vom Provider eine Feste ip haben, da kannst du ja (musst aber nicht) den DNS nutzen, oder habe ich das falsch verstanden.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
January 12, 2023, 10:23:50 AM #12
Nein, es werden BEIDE dyndns Plugins verschwinden. So ist die letzte Ansage von Franco.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 12, 2023, 10:32:03 AM #13
Quote from: 3x3cut0r on January 12, 2023, 09:44:30 AM
...
Sobald ich auf Site B beim Endpoint auch eine Endpoint-Address (site-a.duckdns.org) eingebe kommt ein Tunnel nicht mehr zustande, da das Interface auf Site B down bleibt.
Warum ist das so?
...

Das ist auch so nicht korrekt, man kann auf beiden Seiten in den jeweiligen Endpoint die dyndns-Adresse der jeweiligen remote-sense eintragen. Das funktioniert einwandfrei.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 12, 2023, 10:43:43 AM #14 Last Edit: January 13, 2023, 01:13:13 PM by 3x3cut0r
Ja ich habe einen VPS im Internet und könnte den DNS nutzen. Ich verstehe nicht in wiefern das was ändern würde?
Auch dort muss die dynamische Öffentliche IP der jeweiligen Sites ja per Skript irgendwie täglich eingetragen werden?!
Und in wiefern ist das was anderes als die dyndns Adresse selbst zu verwenden?
Auch dann trage ich ja einen hostnamen in den Endpoint ein.

Quote from: chemlud on January 12, 2023, 10:23:50 AM
Nein, es werden BEIDE dyndns Plugins verschwinden. So ist die letzte Ansage von Franco.
OK das ist mir neu. d.h. es wird bald keinen support mehr für dyndns adressen geben?
Krass!

Quote from: chemlud on January 12, 2023, 10:32:03 AM
Das ist auch so nicht korrekt, man kann auf beiden Seiten in den jeweiligen Endpoint die dyndns-Adresse der jeweiligen remote-sense eintragen. Das funktioniert einwandfrei.
Wie gesagt bei mir funktioniert das nicht.
Es muss einen Fehler in der Config auf Site B geben wobei ich den nicht finden kann. Anders kann ich es mir nicht erklären.
Der einzige unterschied ist, das Site B zwei WG Schnittstellen hat und Site A nur eine. Sonst sind die Configs identisch.
Gleiche OPNsense Version, gleicher dyndns Provider (duckdns), gleiche Config.

//EDIT: habs oben auch kommentiert. Fehler war ein Tippfehler im DNS Namen.
OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
         \/
on Proxmox 8.0
         \/
on Minisforum HM90
Print
Go Up Pages1 2
User actions