VPN über nur eine dedizierte IP

Es gibt 12 Antworten in diesem Thema, welches 2.600 mal aufgerufen wurde. Der letzte Beitrag () ist von TommyM74.

    Liebe Leute,


    Ich lebe in einer UniFi Umgebung (Büro/Nebenwohnsitz), alle Netzwerkkomponenten sind aus dem Hause Ubiquiti.

    Standort 1 ist mein Büro/Nebenwohnsitz und zu Hause (Standort 2) habe ich eine Synology/ASUS Router mit VPN Server laufen.


    Jetzt möchte ich von Standort 1 alle Devices intern und über das dortige Internet nach public gehen UND über EINE dedizierte IP über den VPN zu mir nach Hause.

    Funktioniert das überhaupt?

    Wenn ja, mit meinem jetzigen Setup?

    Oder benötige ich zusätzliche Hardware?


    Vielen Dank für erste Hinweise, irgendwie finde ich dazu so gar nichts... :frowning_face:


    Danke!

    Thomas

    Danke, und was verwende ich als VPN Gateway? Wie setze ich das mit Ubiquiti Equipment auf?

    Konkret: Ich muss mit dieser einen IP in ein anderes Land routen, eben über den VPN zu mir nach Hause, der Rest bleibt lokal.

    Zitat von usr-adm

    Site to Site VPN mit IPSec. Sollte eigentlich jeder Router unterstützen.

    Hatten wir gerade an anderer Stelle, die UniFi-Kisten erwarten für die entfernte Seite die Angabe einer IPv4-Adresse, die Eingabe eines FQDN ist nicht möglich. Damit fällt Dyndns aus, Remote wird zwingend eine feste IP benötigt. Schade drum, denn wohl alle anderen möglichen VPN-Router können mit einem FQDN umgehen.

    Zitat von TommyM74

    Konkret: Ich muss mit dieser einen IP in ein anderes Land routen, eben über den VPN zu mir nach Hause, der Rest bleibt lokal.

    Leider werde ich aus Deiner Beschreibung nicht ganz schlau, es bleibt verborgen, was du eigentlich möchtest. Bitte versuche es einmal genauer zu beschreiben und vermeide bitte dabei solche Ausdrücke wie "eine(n) IP in ein anderes Land routen". Schreibe ganz einfach auf, welche Clients/Host/Kisten an welchem Standort Du mit welche Clients/Host/Kisten Du am anderen Standort Du verbinden willst.

    Hm, dachte eigentlich, ich habe es gut beschrieben.


    Ich möchte von Netzwerk 1 (Office) mit einem Client (eben einer dedizierten IP aus dem Office-Netz) über einen VPN in Netzwerk 2 (Heimnetz) verbinden.

    In Netzwerk 2 habe ich einen VPN Server auf einem Synology laufen, oder eben auch am ASUS Router (OVPN oder IPSec). Public IP sollte eigentlich gleich bleiben, wenn DynDNS nicht funktioniert. Muss ich mal beobachten.


    Alle anderen Clients aus Netzwerk 1 & Internet sollen weiterhin lokal geroutet werden.


    Wenn dieses Setup nur mit Site-2-Site VPN funktioniert, dann muss ich weiterforschen, habe ich noch nie aufgesetzt.


    Danke!

    Zitat von TommyM74

    Hm, dachte eigentlich, ich habe es gut beschrieben.

    Nö - aber ich versuche einmal zu interpretieren :smiling_face:


    Du möchtest also vom Standort 1 eine Einwahl-VPN-Verbindung zum Standort 2 aufbauen, wobei hierfür am Standort 2 entweder eine Synology (OVPN) oder ein ASUS Router (IPsec) als VPN-Server zur Verfügung stünden. Dabei möchtest Du aber erreichen, dass die lokale IP des Clients am Standort 1 erhalten bleibt und per VPN zum Standort 2 übertragen wird. Soweit richtig verstanden?


    Hierzu - warum soll die die lokale IP des Clients erhalten bleiben (mit dieser kann die Serverseite ohnehin nichts anfangen)? Ich kenne dies so, dass ein Einwahlclient vom VPN-Server aus einem bei diesem angelegten Adresspool eine IP für die aktuelle VPN-Verbindung zugewiesen bekommt - zumindest ist dies bei IPsec und SSL-VPN so (bei OVPN werden die Adressen üblicherweise per Zufall vergeben). I.d.R. sorgt dann auch der VPN-Server für das enstprechende Routing der an den Client vergebenen IP in sein lokales LAN, so dass vom entfernten VPN-Client das kpl. LAN des Servers zugängig ist (soweit hier nicht besondere Filter/Regeln angelegt sind).


    Das dürfte dann doch aber auch das sein, was Du erreichen willst - von einem einzigen Client am Standort 1 aus das LAN am Standort 2 erreichbar zu machen. Alle anderen Clients am Standort 1 bleiben außen vor und können den VPN-Tunnel nicht nutzen, es sei denn, du richtest weiteer VPN-Clients ein. Mit "einer dedizierten IP aus dem Office-Netz" hat das ganze aber nun gar nichts zu tun.

    Ok, danke für Deine Zusammenfassung.

    Du hast Recht, welche IP der Client an Standort 1 dann vom VPN Server bekommt ist mir gleich (halt eine aus dem VPN Serverpool, auch bei OpenVPN kann man den übrigens definieren). Sowohl die Synology als auch der ASUS Router an Standort 2 können IPSec/OVPN.


    Mit dedizierter IP (das ist grammatikalisch und nicht protokolltechnisch gemeint) meinte ich lediglich, dass ich EINE und nur eine IP Adresse/Client von Standort 1 über VPN nach Standort 2 routen möchte. Der restliche Traffic an Standort 1 soll über das lokale Netz geroutet werden.


    Ich weiß, wie ich einen VPN Tunnel aufbaue, das funktioniert auch ohne Probleme vom Laptop/PC als VPN Client.

    Wenn ich aber ein Device habe, auf dem nunmal keine Client Software läuft, wie bilde ich das über die Ubiquiti Hardware/Software ab?

    Du kannst OpenVPN benutzen.

    oder holst dir ein Server der ein feste IP hat.

    und wählst dich mit deinen beiden Netzen jeweils mit IPSec drauf.

    Bei der Server Geschichte musst du an den Traffic denken..

    :thumbs_up:

    Zitat von TommyM74

    wie bilde ich das über die Ubiquiti Hardware/Software ab?

    Gar nicht :smiling_face: Dann brauchst Du tatsächlich eine LAN-Kopplung per Site2Site-VPN. Dann können sich alle Clients/Hosts/Kisten in beiden (oder gern auch mehr) Netzwerken gegenseitig sehen. Am besten nützt man dann hierfür die ohnehin vorhandenen Internet(VPN)Router an der Netzwerkkante, die richten dann auch gleich selbstständig die erforderlichen Routen ein. Was du dann dafür für ein Protokoll verwendest, hängt davon ab, was die Kisten können - IPsec sollte (als quasi Industriestandard) eigentlich immer gehen. Leider taucht hier aber dann das Problem auf, dass UI-Kisten nicht mit einem FQDN (wg. Dyndns) für die entfernte Seite umgehen können - steht da aber eine feste IP an, späche nichts dagegen auch eine solche zu verwenden. Bleibt dann nur die Frage, wie schnell wird das Ganze. Mit eienr schnellen Internetanbindung auf beiden Seiten und mit den enstprechenden Routern, arbeitet es sich dann so, als würde man sich in einem einzigen LAN befinden. ich erreiche mittlerweile dieses Ergebnis:



    das sind ca. 450 Mbit/s und damit lassen sich dann auch Backups erledigen :smiling_face:

    Danke, verstehe ich das dann also richtig, dass ich bei einem S2S Tunnel, gleichzeitig für alle Nodes beide IP Kreise verfügbar habe, und dem Client auf Standort 1 einfach eine IP von Standort 2 geben kann?

    Der Traffic wird überschaubar bleiben, wenn da 10 MBit drüberlaufen bin ich schon happy. Die fixe IP an Standort 2 ist gegeben, bei Standort 1 leider nicht, aber ich mach mich mal schlau wie man so einen S2S Tunnel aufbaut.


    Danke!

    Zitat von TommyM74

    Danke, verstehe ich das dann also richtig, dass ich bei einem S2S Tunnel, gleichzeitig für alle Nodes beide IP Kreise verfügbar habe,

    Jo, die Netze sind quasi gekoppelt und hin wie her transparent, es sei denn ein Zugriff ist durch Rechte/ACLs eingeschränkt. Hier mal die beiden FWs, welche die Angelegenheit bei mir erledigen, bitte beachte die URLs - links remote, rechts lokal:



    Zitat von TommyM74

    dem Client auf Standort 1 einfach eine IP von Standort 2 geben kann?

    Nein, selbstverständlich nicht, die beteiligten lokalen Netze bleiben auch lokal und eigene Broadcastingdomains. Allerdings kümmern sich die FWs automatisch um das Routing zwischen den beteiligten Netzen (da muss man nicht selbst Hand anlegen), hier mal die bei mir verbundenen 4 Netze:



    Für die DMZs bleiben dennoch deren Regeln erhalten, ein Zugriff aus diesen in die lokalen LANs ist nicht möglich.