Site-to-Site VPN ohne USG/UDM möglich?

Es gibt 8 Antworten in diesem Thema, welches 2.560 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Moin,

    ich habe nun schon viel rumprobiert und diverse Foren etc durchsucht aber ich finde leider keine Lösung. Daher wende ich mich nun mal an euch.


    Ich habe einen OpenVPN-Server auf einem Root-Server eingerichtet und möchte nun mein Netzwerk per Site-to-Site mit diesem VPN-Server verbinden.

    Brauche ich dafür zwingend einen USG oder eine UDM?

    Im Controller (Rapsi4) kann ich ja ein VPN-Netzwerk einrichten, aber es scheint keine Verbindung auf zu bauen. Zumindest sehe ich in den Logs auf dem Server nichts dergleichen.


    Grüße

    Du musst im Router (wie auch immer der heißt) die entsprechenden Ports auf den VPN-Server weiterleiten.

    Sobald das erledigt ist, solltest Du zumindest mit dem Server sprechen können.


    Ist das UDP 1194 bei Open VPN?


    Danach brauchts ggfs. noch Firewall Anpassungen / Routen, damit Du in eventuell vorhandene andere (interne) Netze kommst.

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    In der Fritzbox ist der Port weitergeleitet (1194 UDP und TCP) auf die IP vom USW-24 Switch.

    Dennoch kommt es nicht zum Verbindungsaufbau. Wenn ich es mit dem OpenVPN-Client am Windows-Rechner probiere funktioniert die Verbindung.


    Die Einstellungen hänge ich mal an.


    Nerdburg-Static.conf (Server):

    Code
    dev tun
ifconfig 10.30.0.1 10.30.0.2
secret keys/static.key
#proto tcp-server
keepalive 10 120
status servers/Nerdburg-Static/logs/openvpn-status.log
log-append servers/Nerdburg-Static/logs/openvpn.log
no-replay

    Wenn der Switch Dein VPN-Server ist, passt das.


    Da ich dass zu 100% ausschließe :grinning_squinting_face: , musst Du die IP des VPN-Servers nehmen.


    Denn die Anfrage von Aussen soll ja beim VPN-Server landen und nicht auf dem Switch...

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Klar ist es möglich ein Site-to-Site-VPN auf OpenVPN-Basis ohne UniFi-Gateway aufzubauen - wie haben das die Menschen sonst vor Ubiquiti gemacht?¿?

    Du musst in Deinem LAN eine Maschine haben, die dafür zuständig ist. Ob das der von Dir genennte Switch kann: keine Ahnung.

    Wie sinnvoll eine solche Konstellation ist: darüber kann man streiten, denn wenn der Root-Server übernommen wird, dann ist der Angreifer direkt bei Dir im LAN. Deine Entscheidung.

    Und wie kleinp oben schrieb muss der OpenVPN-Port (1194/udp) auf die entsprechende Maschine in Deinem LAN weitergeleitet werden.

    Und dann musst Du Deinem Default-Gateway beibringen, wie es mit Paketen umgehen soll, die an den Root-Server gesendet werden. Stichwort: statische Route. Das kann auch eine halbwegs aktuelle FRITZ!Box. Du hast leider nicht geschrieben, welche Du im Einsatz hast.

    Zitat von kleinp

    Da ich dass zu 100% ausschließe :grinning_squinting_face: , musst Du die IP des VPN-Servers nehmen.


    Denn die Anfrage von Aussen soll ja beim VPN-Server landen und nicht auf dem Switch...

    Da gehe ich auch mit.

    Zitat von h0d3nt3uf3l

    Als "Local Tunnel IP Address" oder wo soll ich den VPN-Server noch eintragen?

    Steht ja bei "Remote Tunnel IP Address" schon drin.

    Das ist ja eine Frage, die OpenVPN-spezifisch ist. Hier wirst Du wahrscheinlich nur durch "Zufall" diese Frage beantwortet bekommen.

    Was schreibt denn OpenVPN selbst dazu, wie eine Site-to-Site-Verbindung aufzubauen ist? :confused_face:

    Danke razor und kleinp für die Unterstützung.

    Das mit der übernahme vom Root-Server habe ich mir auch schon gedacht aber hatte damit erstmal die Gelegenheit ein wenig in die VPN-Welt einzusteigen.

    Denke ich muss mich erstmal noch tiefer in die Netzwerk-Grundlagen einlesen. Beim Programmieren kommt man immer mit Trail&Error gut vorran, bei Netzwerken eher weniger und da heißt es ja auch nicht, nur weil etwas funktioniert, ist es auch richtig (und Sicher).


    Denke ich werde dann aber in Zukunft dennoch ein USG kaufen und darüber mein Glück versuchen. Dafür gibt es ja auch einen haufen How-To`s

    Nimm auf beiden Seiten einen Raspberry und hau Wireguard drauf.


    Da gibt es schöne Anleitungen im Netz, wie Die einen Site2Site VPN aufbaust.


    Das ist fix erledigt, kostet erstmal nicht die Welt und Du kannst üben :grinning_squinting_face:

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Hier ist erstmal alles geklärt, denke ich.

    • Thema wurde geschlossen!