pfSense Support Subscription

Author Topic: VPN mehrere Sites  (Read 285 times)

0 Members and 1 Guest are viewing this topic.

Offline esquire1968

  • Full Member
  • ***
  • Posts: 148
  • Karma: +1/-1
    • View Profile
VPN mehrere Sites
« on: November 24, 2017, 06:29:41 pm »
Hallo zusammen!

Ich möchte gerne 4 Standorte über VPN verbinden, so dass die Clients an jedem Standort auf die Netze aller andern Standorte - die online sind - zugreifen können. An sich würde ich das mit einem OpenVPN Server und 3 Clients lösen. Jedoch was passiert wenn der Server nicht online ist? Dann klapt die Verbindung nicht.

Ideal wäre eine Lösung, bei der alle 4 Cliens gleichberechtigt sind und unabhängig vom Ausfall eines Einzelnen miteinander kommunizieren könnten. Wie lässt sich so etwas realisieren?

Danke und beste Grüße
Thomas

Offline hornetx11

  • Jr. Member
  • **
  • Posts: 66
  • Karma: +1/-0
  • Geburtstag: Ich lass mich nicht mehr Schätzen:-)
    • View Profile
Re: VPN mehrere Sites
« Reply #1 on: November 25, 2017, 03:36:00 am »
Hallo Thomas,


Du löst das auf der openVPN Seite auch nicht anders als wie von Dir beschrieben, nur halt vier mal.


Jetzt: Site 1 mit 3 Servern und Sites 2-4 mit Clients ergibt einen Stern.


Wenn Du nun jeden Standort zum Sternmittelpunkt (3 Server an jedem Standort!) machst und jeweils jeden der 3 verbleiben Standorte sich als Client mit dem Server verbinden, hast Du deine Lösung. Heißt aber auch das an jedem Standort 3 Clients vorhanden sind.


Standort 1 drei mal Server Standort 2-4 drei mal Client für Stanort 1

Standort 2 drei mal Server Standort 1,3,4 drei mal Client für Stanort 2

Standort 3 drei mal Server Standort 1,2.4 drei mal Client für Stanort 3

Standort 4 drei mal Server Standort 1-3 drei mal Client für Stanort 4


So langsam wird es unübersichtlich, aber machbar.


VG hornetx11
mobil





// Nur die paranoiden überleben
(Andrew Grove (1936 - 2016), Intel)//

Offline esquire1968

  • Full Member
  • ***
  • Posts: 148
  • Karma: +1/-1
    • View Profile
Re: VPN mehrere Sites
« Reply #2 on: November 25, 2017, 04:34:33 am »
Danke, klingt aber recht kompliziert. Wäre TINC VPN eine Lösung?

Offline Parsec

  • Full Member
  • ***
  • Posts: 117
  • Karma: +8/-1
    • View Profile
Re: VPN mehrere Sites
« Reply #3 on: November 25, 2017, 06:49:55 am »
Kleinen dedicated  Server beim Hoster gemietet und von jedem Standort einen IPSec Tunnel da hin.

Offline hornetx11

  • Jr. Member
  • **
  • Posts: 66
  • Karma: +1/-0
  • Geburtstag: Ich lass mich nicht mehr Schätzen:-)
    • View Profile
Re: VPN mehrere Sites
« Reply #4 on: November 25, 2017, 09:56:07 am »
Oder am Sternpunkt für Redundanz sorgen


hornetx11
// Nur die paranoiden überleben
(Andrew Grove (1936 - 2016), Intel)//

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2542
  • Karma: +269/-1
    • View Profile
Re: VPN mehrere Sites
« Reply #5 on: November 25, 2017, 10:43:07 am »
Wäre TINC VPN eine Lösung?
Ja, daran hatte ich auch gedacht, als ich dein Post gelesen hatte, hatte aber nicht mehr gewusst, wie die Lösung heißt.
Tinc sollte genau das können. Getestet habe ich das aber auch noch nie, nur einen Artikel darüber gelesen, kenne also auch nur die Theorie dazu.

Offline hornetx11

  • Jr. Member
  • **
  • Posts: 66
  • Karma: +1/-0
  • Geburtstag: Ich lass mich nicht mehr Schätzen:-)
    • View Profile
Re: VPN mehrere Sites
« Reply #6 on: November 26, 2017, 03:49:18 am »
Tinc:


hier bin ich raus, außer das ich vor einer gefühlten Ewigkeit eine Zusammenfassung gelesen habe, habe ich es noch nicht einmal im Lab eingesetzt.

Die "Vermaschung" via openVPN setze ich häufiger ein, aber nur bei einer geringen Anzahl von Standorten. Läuft dann auch recht unauffällig.

VG


Hornetx11
mobil
// Nur die paranoiden überleben
(Andrew Grove (1936 - 2016), Intel)//

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3102
  • Karma: +200/-7
  • old man standing
    • View Profile
Re: VPN mehrere Sites
« Reply #7 on: November 27, 2017, 06:13:47 am »
Da bin ich auch eher bei Hornet. Im Normalfall hat man ja eher einen oder zwei größere Standorte und nicht gleich 4 gleichberechtigte bzw. mit gleichen Leitungen.
Im Normalfall ist dann auch der Standort mit der dicksten Leitung logisch der Master. Es ist ja auch die Frage ob jeder mit jedem spricht - und dann direkt über deren Leitung - oder ob zwischendrin noch ein anderer sitzt und über ein Dreieck kommuniziert wird.

Wenn man das eh als Spinnennetz aufzieht, dann würde ich auch keine Client/Server aufbauen (zumindest nicht im Sinn Multi-Client), sondern OpenVPN Peer2Peer Tunnel machen. Bei 4 zu 4 geht das noch halbwegs, dann hat jeder Standort 3 Tunnel Konfigurationen und gut. Wer dabei Server und Client ist, ist bei TunnelSetup ja relativ egal.
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline esquire1968

  • Full Member
  • ***
  • Posts: 148
  • Karma: +1/-1
    • View Profile
Re: VPN mehrere Sites
« Reply #8 on: November 28, 2017, 11:07:49 am »
Danke für Eure Tipps. Tatsächlich sind alle "gleichberechtigt" und jeder soll auf jeden zugreifen können - ohne das dies über einen zentralen Knoten läuft. Tinc kann das offensichtlich, viele "Fans" habe ich allerdings noch nicht gefunden. Wäre nun OpenVPN wie beschrieben die erste Wahl oder eine IPSec peer-to-peer Verbindung von jedem Standort zu jedem anderen?

Gruß, Thomas


Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3102
  • Karma: +200/-7
  • old man standing
    • View Profile
Re: VPN mehrere Sites
« Reply #9 on: November 29, 2017, 03:04:51 am »
Hängt stark von der Leitungsbreite und der Performance der Kisten ab. Wenn das kein Problem darstellt würde ich persönlich OpenVPN den Vorzug geben. Einfacher und schneller einzurichten und ggf. kannst du damit auch durch PBR bestimmte Sachen anders routen als definiert. Einfach flexibler.
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.