4
Site-to-Site VPN pfSense hinter Speedports mit IP Telefonie
Hallo alle miteinander,
ich bin noch recht neu in der Materie VPN (Site-to-Site) pfSense etc. Ich beschreibe einmal kurz mein Vorhaben und bin dankbar über Hinweise auf Fallstricke, bzw. die Machbarkeit
Ich habe hier schon einige Tutorials angesehen, die teilweise auf ähnliche Szenarien abzielen und habe nun die Hoffnung das für unser Kinderheim entsprechend umsetzen zu können…
Grundsätzlich möchte ich ein Site-to-Site VPN von zwei Nebenstandorten zu unserem Hauptstandort und den dort befindlichen Fileserver realisieren. Die beiden Nebenstandorte müssen nicht zwingend miteinander verbunden sein! Somit könnte ich sogar eine Domänenanmeldung umsetzen, richtig (mir ist klar, dass hierzu die konfig eines Domänencontrollers etc. notwendig ist, ich meine nur, ob der Netzwerkweg zu Verfügung steht)? Die User sollen nicht erst über einen Software Client einen VPN Tunnel aufbauen, sondern es soll sich so anfühlen, als sei der Server im selben LAN.
Ausgangssituation: Provider Telekom Geschäftskunden
1. Hauptstandort (internes Netz 192.168.0.x ) mit einem Windows-Server (Dateiserver für Fotos, kleine Worddokumente, Excel Tabellen und einer kleinen internen Webanwendung mit SQL DB) hinter einem DSL Router (LANCOM) von der Telekom, feste IP Adresse. DSL 16.000
2. 1. Kleiner Nebenstandort (internes Netz 192.168.0.x), Telekom Magenta XY mit IP basierter Telefonie, Speedport W724V
DSL 16.000
3. 2. Kleiner Nebenstandort (internes Netz 192.168.178.x), Telekom, Speedport W701V (ISDN Anschluss) DSL 6.000
Nun möchte ich 3 fertige pfSense Komplettsysteme erwerben, z.B. wie auch schon in einem der Tutorials verlinkt, hier http://varia-store.com/index.php?cat=c271_pfSense.html. -> Wäre das schon mal ein richtiger Ansatz?
In einigen Tutorials, bzw. derer Kommentare habe ich die Empfehlung gelesen die Speedports (da waren es allerdings Fritzboxen) als „Modem“ laufen zu lassen und die Zugangsdaten in die pfSense einzutragen (habe ich das richtig verstanden?). Ich möchte die Router aber weitestgehend unangetastet lassen, mit Ausnahme der Port-Forwarding Regeln, insbesondere weil an einem der Nebenstandorte der Speedport sich auch um die IP Telefonie kümmert und ich mit IP Telefonie und diesem ganzen SIP Kram keine Erfahrungen habe. Ich weiß nicht welche Auswirkungen das auf die IP Telefonie hätte wenn ich den Speedport auf seine Modem-Funktion degradiere.
Zusätzlich habe ich an jedem Standort noch einen Freifunk Router laufen, um für unsere Jugendlichen und Mitarbeiter einen Internetzugang zu ermöglichen, aber das ist von der ganzen Materie ja eigentlich unberührt.
Wenn mein Vorhaben unter den gegeben Umständen so möglich ist, würde ich erstmal 2 pfSense Geräte beschaffen und mich anhand der Tutorials durchhangeln und mit einem Standort testen. Über ein paar Statements würde ich mich sehr freuen, falls meinerseits noch Angaben fehlen um das ganze hier zu kommentieren, bitte um Kurze Nachricht.
Vielen Dank schonmal und einen schönen, sonnigen 1. Mai!!!
Grüße, DanyCode
ich bin noch recht neu in der Materie VPN (Site-to-Site) pfSense etc. Ich beschreibe einmal kurz mein Vorhaben und bin dankbar über Hinweise auf Fallstricke, bzw. die Machbarkeit
Ich habe hier schon einige Tutorials angesehen, die teilweise auf ähnliche Szenarien abzielen und habe nun die Hoffnung das für unser Kinderheim entsprechend umsetzen zu können…
Grundsätzlich möchte ich ein Site-to-Site VPN von zwei Nebenstandorten zu unserem Hauptstandort und den dort befindlichen Fileserver realisieren. Die beiden Nebenstandorte müssen nicht zwingend miteinander verbunden sein! Somit könnte ich sogar eine Domänenanmeldung umsetzen, richtig (mir ist klar, dass hierzu die konfig eines Domänencontrollers etc. notwendig ist, ich meine nur, ob der Netzwerkweg zu Verfügung steht)? Die User sollen nicht erst über einen Software Client einen VPN Tunnel aufbauen, sondern es soll sich so anfühlen, als sei der Server im selben LAN.
Ausgangssituation: Provider Telekom Geschäftskunden
1. Hauptstandort (internes Netz 192.168.0.x ) mit einem Windows-Server (Dateiserver für Fotos, kleine Worddokumente, Excel Tabellen und einer kleinen internen Webanwendung mit SQL DB) hinter einem DSL Router (LANCOM) von der Telekom, feste IP Adresse. DSL 16.000
2. 1. Kleiner Nebenstandort (internes Netz 192.168.0.x), Telekom Magenta XY mit IP basierter Telefonie, Speedport W724V
DSL 16.000
3. 2. Kleiner Nebenstandort (internes Netz 192.168.178.x), Telekom, Speedport W701V (ISDN Anschluss) DSL 6.000
Nun möchte ich 3 fertige pfSense Komplettsysteme erwerben, z.B. wie auch schon in einem der Tutorials verlinkt, hier http://varia-store.com/index.php?cat=c271_pfSense.html. -> Wäre das schon mal ein richtiger Ansatz?
In einigen Tutorials, bzw. derer Kommentare habe ich die Empfehlung gelesen die Speedports (da waren es allerdings Fritzboxen) als „Modem“ laufen zu lassen und die Zugangsdaten in die pfSense einzutragen (habe ich das richtig verstanden?). Ich möchte die Router aber weitestgehend unangetastet lassen, mit Ausnahme der Port-Forwarding Regeln, insbesondere weil an einem der Nebenstandorte der Speedport sich auch um die IP Telefonie kümmert und ich mit IP Telefonie und diesem ganzen SIP Kram keine Erfahrungen habe. Ich weiß nicht welche Auswirkungen das auf die IP Telefonie hätte wenn ich den Speedport auf seine Modem-Funktion degradiere.
Zusätzlich habe ich an jedem Standort noch einen Freifunk Router laufen, um für unsere Jugendlichen und Mitarbeiter einen Internetzugang zu ermöglichen, aber das ist von der ganzen Materie ja eigentlich unberührt.
Wenn mein Vorhaben unter den gegeben Umständen so möglich ist, würde ich erstmal 2 pfSense Geräte beschaffen und mich anhand der Tutorials durchhangeln und mit einem Standort testen. Über ein paar Statements würde ich mich sehr freuen, falls meinerseits noch Angaben fehlen um das ganze hier zu kommentieren, bitte um Kurze Nachricht.
Vielen Dank schonmal und einen schönen, sonnigen 1. Mai!!!
Grüße, DanyCode
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270743
Url: https://administrator.de/contentid/270743
Printed on: April 23, 2024 at 23:04 o'clock
4 Comments
Latest comment
Moin,
Wenn du die VPN Verbindung hinter dem Speedport Router betreiben und diesen nicht zum Modem degradieren willst, musst du die entsprechenden Ports für dein VPN Protokoll zur PfSense weiterleiten.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wenn du mit mehreren Netzen oder VLANs hinter der PfSense arbeiten willst bräuchtest du statische Routen, welche die Speedports meines Wissens nach nicht unterstützen. Alternativ müsstest du mit einer Router Kaskade ein doppeltes NAT betreiben
VG
Val
Wenn du die VPN Verbindung hinter dem Speedport Router betreiben und diesen nicht zum Modem degradieren willst, musst du die entsprechenden Ports für dein VPN Protokoll zur PfSense weiterleiten.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wenn du mit mehreren Netzen oder VLANs hinter der PfSense arbeiten willst bräuchtest du statische Routen, welche die Speedports meines Wissens nach nicht unterstützen. Alternativ müsstest du mit einer Router Kaskade ein doppeltes NAT betreiben
Nun möchte ich 3 fertige pfSense Komplettsysteme erwerben, z.B. wie auch schon in einem der Tutorials verlinkt, hier http://varia-store.com/index.php?cat=c271_pfSense.html. -> Wäre das schon mal ein richtiger Ansatz?
Jo nimm am besten ein APU1D4, das ist das aktuelle Modell und wesentlich schneller als das ALIX.2D13 Board!VG
Val
Erstmal Danke !! 
Du erwähnst das wegen der Freifunk Router, oder? Aber die müssten nach meinem Verständnis nix damit zu tun haben, die hängen direkt am Speedport, machen ihr eigenes Netz und sollen mit dem anderen Netz und dem VPN sowieso nichts zu tun haben...
Wenn du mit mehreren Netzen oder VLANs hinter der PfSense arbeiten willst bräuchtest du statische Routen, welche die
Speedports meines Wissens nach nicht unterstützen. Alternativ müsstest du mit einer Router Kaskade ein doppeltes NAT
betreiben
Speedports meines Wissens nach nicht unterstützen. Alternativ müsstest du mit einer Router Kaskade ein doppeltes NAT
betreiben
Du erwähnst das wegen der Freifunk Router, oder? Aber die müssten nach meinem Verständnis nix damit zu tun haben, die hängen direkt am Speedport, machen ihr eigenes Netz und sollen mit dem anderen Netz und dem VPN sowieso nichts zu tun haben...
Du erwähnst das wegen der Freifunk Router, oder? Aber die müssten nach meinem Verständnis nix damit zu tun haben,
die hängen direkt am Speedport, machen ihr eigenes Netz und sollen mit dem anderen Netz und dem VPN sowieso nichts zu tun
haben...
Jein die hängen direkt am Speedport, machen ihr eigenes Netz und sollen mit dem anderen Netz und dem VPN sowieso nichts zu tun
haben...
Wenn du hinter deiner PfSense mehrere Netze aufspannst, kannst du entweder Routen oder NAT benutzen(da Speedport keine statische Route können).
Beim Routen müsstest du statische Routen auf dem Speedport eintragen sonst kommen diese nichtmal ins Internet
Ansonsten klingt das bei dir relativ abenteuerlich wenn du parallel noch einen extra Router betreibst und somit 3 Router hast.
Pack das zusätzliche Netz doch einfach in ein VLAN oder eigenes Interface an der PfSense?
VG
Val
Ansonsten klingt das bei dir relativ abenteuerlich wenn du parallel noch einen extra Router betreibst und somit 3 Router hast.
Pack das zusätzliche Netz doch einfach in ein VLAN oder eigenes Interface an der PfSense?
Pack das zusätzliche Netz doch einfach in ein VLAN oder eigenes Interface an der PfSense?
Ok? Da habe ich wohl noch eine ganze Menge Nachholbedarf... das VLAN lege ich in der pfSense an? Ich glaube ich muss mir erstmal die Dinger besorgen, damit ich auch praktisch was in der Hand habe
