Verständnisfragen OpenVPN Instanzen, Server, Multi Site-to-Site

[Mawa78]

Hallo,

ich habe ein paar Best Practices Fragen zu OpenVPN.
Wir möchten von einer alten Sophos UTM auf OpnSense wechseln und damit auch die bisher bestehenden OpenVPN Verbindungen umziehen. Auf der Sophos kommen ca. 15 parallele Site-to-Site Verbindungen an.
Ich hatte in der Vergangenheit schon ein wenig mit dem Thema OpenVPN auf pfsense zu tun und bin in der OpnSense relativ frisch.
Hier mal meine Fragen:
Was genau ist der unterschied zwischen einer Instanz und dem Legacy Server? Sollte man für diese Anzahl eher eine einzelne Instanz, mehrere Instanzen oder mehrere Server erstellen? Macht es Sinn noch Legacy Server zu erstellen oder fallen die eh irgendwann weg? Gibt es Unterschiede in der Systembelastung ob Instanzen oder Server verwendet werden?

LG und vielen Dank im Voraus

[JamesFrisch]

Was genau ist der unterschied zwischen einer Instanz und dem Legacy Server?

Eines ist die neue Implementierung, das andere die legacy.

Sollte man für diese Anzahl eher eine einzelne Instanz, mehrere Instanzen oder mehrere Server erstellen?

Die Anzahl ist dabei nicht entscheidend, sondern der use case.

Macht es Sinn noch Legacy Server zu erstellen oder fallen die eh irgendwann weg?

Natürlich weg. Ich würde mich eher fragen, ob es noch zeitgemäss ist OpenVPN anstelle von Wireguard zu verwenden.


An deiner Stelle würde ich mich ein wenig in die Materie einlesen, deine Netzwerke aufzeichnen und ein WireGuard test site to site einrichten.

ca. 15 parallele Site-to-Site Verbindungen an.

bist Du dir da sicher? Oder meinst du 15 road warrior Verbindungen?
Sollten es tatsächlich 15 site-to-site sein, hätte ich da meine Bedenken...

[Mawa78]

Du hast tatsächlich recht, es sind Road Warrior Verbindungen, sorry (Sophos ist nicht meins). Derzeit ist es so, wenn dort Änderungen an der Konfiguration durchgeführt werden, werden auch alle Verbindungen kurz unterbrochen. Das würde ich gerne verhindern und die auf Site-to-Site umstellen. Die sollen sich auch untereinander nicht erreichen können, somit gehe ich davon aus das eine Instanz pro S2S Sinn macht.
WG ist leider nicht möglich weil die Industrie Router (Insys MRX) kein WG können.

[JamesFrisch]

Du brauchst nur eine Instanz, es sein denn du brauchst unterschiedliche server configs.
Wüsste nicht wozu, kenne aber auch deinen use case nicht.

[Mawa78]

Wir binden Windparks an, in jedem Park gibt es ein oder mehrere Netzwerke. Eine vernünftige Trennung wäre daher schon sinnvoll. Wenn ich eine Instanz erstelle und dort alle Remotenetze eintrage, können vermutlich erst mal alle untereinander kommunizieren und ich müsste das per FW regeln richtig? Außerdem hab ich die Befürchtung, dass es irgendwann zu unübersichtlich wird. Es sollen ja zukünftig auch noch weitere Parks hinzukommen.

[micneu]

Ich würde 1 openvpn Instanz für rw machen und jedem Benutzer feste ips verpassen mit Client spezifischen Konfiguration. Bei der Anzahl kann man das noch machen. So kannst du genau die Regeln festlegen wer wo hin darf .


Gesendet von iPhone mit Tapatalk Pro

[JamesFrisch]

Das beantwortet die Frage nicht wirklich.
Ein Tunnel ist das genaue Gegenteil von getrennten Netzwerken, da es darum geht getrennte Netzwerke zu verbinden :)

Was müssen denn für Daten fliessen? Ein Beispiel, möchtest du von der Hauptzentrale auf remote Geräte zugreifen? Oder senden diese Remote Geräte Daten? Braucht es dafür überhaupt einen Tunnel oder wäre https nicht einfacher? Fragen über Fragen. Technisch ist alles easy machbar, aber ein sauberer Plan muss her.

Kommst du aus der Netzwerk oder IT Branche? Ich würde mir eventuell externe Hilfe holen. Oder du erstellst erstmal ein Konzept. Dann hast du den schwierigsten Teil geschafft und die OpenVPN Anleitungen von Opnsense sind der einfache Part. Jedenfalls wenn du einigermassen IPv4/6, Subnetze, DynDNS, a und aaaa records verstehst.

[lewald]

Moin,

das sagt mein OPNsense Ki Bot.

"Hallo,

Willkommen zur Migration und den Best Practices mit OpenVPN auf OPNsense! Hier sind die Antworten auf deine Fragen:

### Unterschied zwischen Instanz und Legacy Server
- **Instanz**: Das Konzept der Instanzen wurde in der Version 23.7 eingeführt. Es bietet eine modernisierte und vereinheitlichte Methode, OpenVPN-Konfigurationen zu verwalten, die besser mit der Upstream-Dokumentation kompatibel ist. Mit Instanzen kannst du sowohl Server als auch Clients innerhalb derselben Konfiguration verwalten.
- **Legacy Server**: Dies ist der alte Ansatz, der bisher auf OPNsense verwendet wurde. Der Legacy Server erlaubt dir, spezifische Server-Einstellungen für OpenVPN vorzunehmen, aber es gibt eine strikte Trennung zwischen Server- und Client-Konfigurationen.

### Empfohlene Vorgehensweise
1. **Verwendung von Instanzen**:
   - **Zukunftssicherheit**: Da Instanzen die neuere Methode sind und Legacy Server in zukünftigen Versionen möglicherweise wegfallen, ist es sinnvoller, Instanzen zu verwenden. Dadurch vermeidest du mögliche Schwierigkeiten bei zukünftigen Upgrades.
   - **Vereinheitlichung**: Mit Instanzen kannst du alle OpenVPN-Konfigurationen unter einem Dach verwalten, was die Verwaltung vereinfacht.

2. **Anzahl der Instanzen versus Server**:
   - Für **15 parallele Site-to-Site-Verbindungen** können mehrere Instanzen verwendet werden, falls spezifische Konfigurationen oder Differenzierungen benötigt werden. Es bleibt jedoch wichtig, die Verwaltungskosten gegen den Nutzen abzuwägen.
   - **Single Instanz**: Wenn die Verbindungen ähnliche Konfigurationen verwenden können, könnte eine einzige Instanz mit `client-specific overrides` eine saubere Lösung sein. Diese Methode reduziert die Komplexität und Anzahl der Konfigurationen, die gewartet werden müssen.
   - **Mehrere Instanzen**: Falls notwendige, unterschiedliche Konfigurationen und Sicherheitsanforderungen bestehen (z.B. unterschiedliche Protokolle, Ports oder andere spezielle Anforderungen), könnten mehrere Instanzen sinnvoll sein.

### Systembelastung
- Es gibt keinen signifikanten Unterschied hinsichtlich der Systembelastung oder Performance zwischen dem Verwenden von Instanzen und Legacy Server. Beide Methoden sollten ähnliche Performance bieten, vorausgesetzt, die OpenVPN-Konfigurationen sind vergleichbar.


### Fazit
Um langfristig von Vorteil zu sein und einfacher zu warten, empfehle ich, OpenVPN-Instanzen für Ihre Site-to-Site-Verbindungen zu verwenden. Dies bietet eine zukunftssichere Lösung, die besser skaliert und einfacher zu verwalten ist.

Ich hoffe, das beantwortet deine Fragen. Wenn du weitere Informationen benötigst, stehe ich gerne zur Verfügung.

Liebe Grüße und viel Erfolg bei der Migration!"

[Mawa78]

Guten Abend,

vielen Dank, genau danach habe ich gesucht. Dafür einen Daumen hoch! :-)