6
Pfsense ipsec-VPN auf mehrere interner LANs routen ?
Hallo ,
ich habe im moment den folgenden aufbau :
pfsense 1x wan port ----- > 3x Lan
Lan A 192.168.1.0 ( vpn zu 192.168.4.0,192.168.168.5.0 etc )
Lan B 192.168.2.0
Lan C 192.168.3.0
auf das Netz von Lan a enden 7-9 Ipsec router zu router VPN-Verbindungen , nun habe Ich den bedarf von einem oder 2 PC durch die auf Lan a vorhanden VPN ziele zuzugreifen z.b. auf den Terminalserver 192.168.5.100.
Geht das mit pfsense ? wo und welche Routen müssen da eingestellt werden um von dem "tunnelfremden" Netz durch den Tunnel zu kommen ?
Die Tunnel funktionieren natürlich bisher einwandfrei auf den entsprechenden Port an der Pfsense.
für konstruktive Beiträge wäre Ich dankbar.
Viele Grüße und ein frohes neues Jahr, Andreas
ich habe im moment den folgenden aufbau :
pfsense 1x wan port ----- > 3x Lan
Lan A 192.168.1.0 ( vpn zu 192.168.4.0,192.168.168.5.0 etc )
Lan B 192.168.2.0
Lan C 192.168.3.0
auf das Netz von Lan a enden 7-9 Ipsec router zu router VPN-Verbindungen , nun habe Ich den bedarf von einem oder 2 PC durch die auf Lan a vorhanden VPN ziele zuzugreifen z.b. auf den Terminalserver 192.168.5.100.
Geht das mit pfsense ? wo und welche Routen müssen da eingestellt werden um von dem "tunnelfremden" Netz durch den Tunnel zu kommen ?
Die Tunnel funktionieren natürlich bisher einwandfrei auf den entsprechenden Port an der Pfsense.
für konstruktive Beiträge wäre Ich dankbar.
Viele Grüße und ein frohes neues Jahr, Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292066
Url: https://administrator.de/contentid/292066
Printed on: April 25, 2024 at 10:04 o'clock
6 Comments
Latest comment
Geht das mit pfsense ?
Ja, natürlich !wo und welche Routen müssen da eingestellt werden
Du hast 2 Optionen:- Statisch: Hier trägst du alle Zielnetze und ihr Next Hop Gateway in alle Router komponenten ein oder wenn du es etwas restriktiver machen willst nur auf dem Default Gateway von den 2 PCs und allen Routerhops zum Zielnetz.
- Dynamisch: Du aktivierst ganz einfach ein dynamisches Routing Protokoll wie RIPv2 oder OSPF auf den Routern und lässt das automatisch machen.
Von welchem Netz, bzw. von welcher IP willst du auf 192.168.5.100 zugreifen ?
Wenn z.B. aus 192.168.2.0 musst du eine 2te Phase 2 für das bestehende VPN von 192.168.1.0 nach 192.168.5.0 auf beiden VPN Endpunkten erstellen; ggf. auch noch Regeln erstellen.
Wenn z.B aus 192.168.4.0 zu 192.168.5.0 (Hub and Spoke VPN): funktioniert meines Wissens nach nicht mit IPsec, sondern nur mit OpenVPN.
Wenn z.B. aus 192.168.2.0 musst du eine 2te Phase 2 für das bestehende VPN von 192.168.1.0 nach 192.168.5.0 auf beiden VPN Endpunkten erstellen; ggf. auch noch Regeln erstellen.
Wenn z.B aus 192.168.4.0 zu 192.168.5.0 (Hub and Spoke VPN): funktioniert meines Wissens nach nicht mit IPsec, sondern nur mit OpenVPN.
Hallo,
wenn eine VPN Verbindung steht kann man in der Regel auf das gesamte dahinter liegende Netzwerk zugreifen,
es sei denn die Firewallregeln verhindern dies. Mann kann also sehr wohl mittels IPSec eine VPN Verbindung
aufbauen, dafür dann die richtigen Regel(n) erstellen und alles läuft ohne Probleme.
bis zum fünffachen beschleunigt und OpenVPN bleibt davon völlig unberührt und wird nicht unterstützt!
IPSec benutzt AES-GCM AES-NI Support
OpenVPN benutzt AES-CBC kein AES-NI Support
Gruß
Dobby
wenn eine VPN Verbindung steht kann man in der Regel auf das gesamte dahinter liegende Netzwerk zugreifen,
es sei denn die Firewallregeln verhindern dies. Mann kann also sehr wohl mittels IPSec eine VPN Verbindung
aufbauen, dafür dann die richtigen Regel(n) erstellen und alles läuft ohne Probleme.
sondern nur mit OpenVPN.
Sollte die pfSense Version 2.2.5 oder 2.2.6 sein wird IPSec aber durch eine CPU mit AES-NI Unterstützungbis zum fünffachen beschleunigt und OpenVPN bleibt davon völlig unberührt und wird nicht unterstützt!
IPSec benutzt AES-GCM AES-NI Support
OpenVPN benutzt AES-CBC kein AES-NI Support
Gruß
Dobby
Gar kein Feedback des TE? Schade mal wieder.
Ja, traurig... 
Auch eine ggf. gefundene Lösung wäre ja für andere hilfreich. Der tiefere Sinn eines Forums.
Haben aber eben viele noch nicht durchdrungen...aber egal.
Hat beim TO ja auch noch nichtmal für ein Klick auf
How can I mark a post as solved?
gereicht....
Auch eine ggf. gefundene Lösung wäre ja für andere hilfreich. Der tiefere Sinn eines Forums.Haben aber eben viele noch nicht durchdrungen...aber egal.
Hat beim TO ja auch noch nichtmal für ein Klick auf
How can I mark a post as solved?
gereicht....
Hallo Helfer ,
Ich muss gestehen , ich hatte es erstmal beiseite geschoben und nur die beiden wichtigen Netze mit einem 2 Tunnel bzw. Ip-bereich belegt. das funktioniert tadellos.
Und im normalen Tageswahnsinn
bleiben eben so "kleine " basteleien auf der Strecke oder dauern halt ein bischen bis es zum probieren und einer Lösung kommt.
Ich hoffe Ihr seht mir mein "langes schweigen" nach und ich freue mich auf Beiträge wo Ich dann mal helfen kann !
Inzwischen habe ich die Routen manuell eingetragen und auch das funktioniert wunderbar , danke Aqui !
Bis bald ,
Andreas
Ich muss gestehen , ich hatte es erstmal beiseite geschoben und nur die beiden wichtigen Netze mit einem 2 Tunnel bzw. Ip-bereich belegt. das funktioniert tadellos.
Und im normalen Tageswahnsinn
bleiben eben so "kleine " basteleien auf der Strecke oder dauern halt ein bischen bis es zum probieren und einer Lösung kommt.Ich hoffe Ihr seht mir mein "langes schweigen" nach und ich freue mich auf Beiträge wo Ich dann mal helfen kann !
Inzwischen habe ich die Routen manuell eingetragen und auch das funktioniert wunderbar , danke Aqui !
Bis bald ,
Andreas
