VPN eines einzelnen Clients (PS5) über die OPNsense

[micneu]

Warum brauchst du an deiner VPC einen dyndns?
- hat dein VPC keine FESTE ip vom Provider?
- welcher Provider/Produkt?
- wir haben z. B. bei AWS einigen VPCs feste IPs verpasst
- wenn du eine eigene domain hast kannst du ja auch die Feste IP vom Provider einfach da eingeben.

FRAGE: bist du beruflich im IT bereich tätig?

[3x3cut0r]

Warum brauchst du an deiner VPC einen dyndns?
- hat dein VPC keine FESTE ip vom Provider?
- welcher Provider/Produkt?
- wir haben z. B. bei AWS einigen VPCs feste IPs verpasst
- wenn du eine eigene domain hast kannst du ja auch die Feste IP vom Provider einfach da eingeben.

FRAGE: bist du beruflich im IT bereich tätig?

Es handelt sich hier um 2 rein private Internet-Anschlüsse von 2 privaten Haushalten.
Provider ist 1und1 auf beiden Seiten (VDSL2 35b 250/40 und VDSL2 17a 100/40).
Nein diese haben keine feste IP.

Mein VPS welchen ich mal in Erwägung gezogen hatte, hätte eine feste IPv4 und 6. Dieser hat natürlich auch eine eigene Domain. Aber den VPS zu nutzen habe ich bereits verworfen.

Ja ich war Beruflich in der IT tätig. Bin aber privat technischer unterwegs als es Beruflich der Fall war.

[3x3cut0r]

Wie ist das mit nem S2S VPN.
wenn ich jetzt beide LANs miteinander verbunden habe ... ich habe noch nichts in richtung Selective Routing unternommen ... Wann und Warum entscheidet OPNsense ich route jetzt Traffic eines Clients durch den VPN Tunnel anstatt weiter ins Internet?
Durch ein angelegtes GW welches eine höhere Prio (niedrigerer Wert) hat? oder durch eine Floating Regel?

Ich muss gestehen so schön ausführlich die Dokumentation auch ist ... mir fehlt da ein Schaubild incl. eines Beispiels um es zu verstehen  ???

[lewald]

Nun das Routing passiert in der Regel über die Ziel ips.

Wenn Client a (192.168.100.1) nach Ziel B(192.168.99.1) will weiß deine Sense auf Seite A das Ziel gehört nicht in mein lokales Netz. Voraussetzung ist aber das die Netze auf beiden Seiten des Tunnels bekannt sind.


Nun hast Du aber etwas anders vor. Soweit ich verstanden habe willst du von Seite A auf das Internet von Seite B zugreifen. Aber nur mit einem Client. Und das geht nur mit einer Regel.

Wenn Client A (192.168.100.1) dann gehe über das Gateway (192.168.99.X).


PS: Ob das Dein Spiele Problem löst mag sein. Aber die Latenzen werden größer, weil die ja zusätzlich durch den Tunnel gehst.

[JeGr]

Wann und Warum entscheidet OPNsense ich route jetzt Traffic eines Clients durch den VPN Tunnel anstatt weiter ins Internet?
Durch ein angelegtes GW welches eine höhere Prio (niedrigerer Wert) hat? oder durch eine Floating Regel?

Kommt darauf an was für ein VPN du eingerichtet hast.

Bei IPsec wird das bei klassischem IPsec durch die Phase 2 definiert, wer zu wem geroutet wird. Bei IPsec VTI (geroutet) oder OpenVPN oder Wireguard wird meistens nur ein Transfernetz (die beiden virtuellen Endpunkte auf jeder Seite des Tunnels) erstellt und wer oder was darüber geroutet wird, liegt dann an dir. Das sind dann meist bei klassischem S2S VPN eine statische Route auf jeder Seite die auf die andere Seite zeigt - bei OpenVPN kann das durch die Config dann meist selbst direkt beim Aufbauen erledigt, WG und VTI brauchen meist manuell eine statische Route.

Was du aber möchtest ist ja konkret nicht alles darüber zu routen wie normal, sondern lediglich eine einzelne IP. Da kommen PBR - policy based rules - ins Spiel. Also definierst du eine Firewallregel auf dem IF, auf dem die PS5 hängt, als Source die PS5 IP rein und als Ziel dann sehr wahrscheinlich entweder "any" oder "!RFC1918" (also nicht in private Netze - ergo externe IPs) und gibst dort dann als Gateway gezielt das VPN GW ein, das du eingerichtet hast mit deinem VPN. Die Regel muss natürlich über andere die Traffic vom LAN erlauben, also potentiell recht weit/ganz nach oben.

Floating ist da unnötig und IMHO macht es den Regelsatz eher chaotisch wenn man nicht gleich sieht, was wo konfiguriert ist. :)

Ich würde aber drüber nachdenken, das VPN gegen deinen Host/Server im Internet zu bauen, statt zu einem anderen Home Anschluß. Die Heimanschlüsse haben mehr Latency und mit Traffic rein und wieder raus macht es nicht besser. Zudem bist du abhängig davon, was die andere Seite grade macht. Wenn da nen größerer Download läuft o.ä. hast du ggf. im Spiel auch keinen Spaß mehr. Daher würde ich als Host lieber einen VPS o.ä. nutzen. Dort kann man mitunter inzwischen auch relativ einfach ne OPNsense installieren (lassen) und sich das dann auch recht simpel zusammenklicken.

Cheers
\jens

[3x3cut0r]

OK verstehe, danke!

Ich muss dann wahrscheinlich auf der Gegenseite noch die NAT-Regel anpassen/hinzufügen, sodass die, per statischer Route, geroutete IP Adresse der PS5 dann auch ins Internet ge-NAT-et wird, richtig?

Ich probiere das die Tage mal aus. Bin leider noch nicht dazu gekommen.

Ein Problem hätte ich noch. Das S2S VPN will bei mir nicht mit ner dyndns Adresse. Es funktioniert nur wenn ich die Öffentlichen IPs der Gegenseite in die Endpoints eintrage.
Gibt es dafür noch Lösungen oder soll ich doch mal über OpenVPN nachdenken anstatt Wireguard zu nutzen, wenn da die Namensauflösung so problematisch ist?