Externes Gebäude per VPN anbinden

Infrastruktur
1

Guten Tag,

die FKS verwendet Linuxmuster als Server. Die Gebäude sind über folgende IP Ranges angebunden :

10.16.1.x Server
10.17.x.x erstes Gebäude
10.22.x.x sechstes Gebäude

nun haben wir allerdings ein Schulgebäude, was sich nicht direkt auf dem Gelände befindet, also nicht mit der Schule verkabelt ist.

Wir möchten dieses Gebäude per VPN(DSL 16Mbit) folgendermassen konfigurieren :

10.24.x.x

Wir haben in besagtem Aussengebäude einen IPfire Server aufgestellt und nun etliche Versuche unternommen, diesen per VPN (Server to Server) zu verbinden, leider konnten wir zwar eine Verbindung herstellen, aber noch nie bspw die 10.16.1.1 erreichen (anpingen).

Ist das was wir vorhaben überhaupt möglich, wenn ja, was gilt es zu berücksichtigen bzw zu konfigurieren ?

Vielen Dank für jeden Tipp
i.A. Fritz Karsen Schule

2

Hallo!

Ihr müsst da bestimt eine Firewall-Regel dafür einstellen. Wie stellt Ihr sicher, dass die Verbindung steht? Kommt Ihr an den andere IPFire ran? Kommt ihr von IPFire 10.24.xx auf IPFire 10.16.xx?

LG
Max

3

Hallo,

grundsätzlich ist es möglich, allerdings muss dazu ein VPN im Bridged-Mode erstellt werden, da es sich um eine Broadcast-Domäne handelt (Subnetzmaske 255.240.0.0). OpenVPN kann das, allerdings wird dies nicht von IPFire unterstützt.

ipcalc 10.16.0.0/12
Address:   10.16.0.0            00001010.0001 0000.00000000.00000000
Netmask:   255.240.0.0 = 12     11111111.1111 0000.00000000.00000000
Wildcard:  0.15.255.255         00000000.0000 1111.11111111.11111111
=>
Network:   10.16.0.0/12         00001010.0001 0000.00000000.00000000
HostMin:   10.16.0.1            00001010.0001 0000.00000000.00000001
HostMax:   10.31.255.254        00001010.0001 1111.11111111.11111110
Broadcast: 10.31.255.255        00001010.0001 1111.11111111.11111111
Hosts/Net: 1048574               Class A, Private Internet

Siehe auch:

https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html

Ansonsten ein Gebäudenetz aus einer anderen Broadcast-Domäne wählen, also z.B. 10.32.0.0/24.

Beide Varianten haben Vor-/Nachteile. Der größte Vorteil der Bridge ist, dass Alles (DHCP, WOL, PXE) so funktioniert, wie im lokalen Netz. Der größte Nachteil ist, dass auch sämtliche Broadcasts des Schulnetzes über die VPN-Leitung gehen. Es muss also getestet werden, ob so eine asynchrone DSL Leitung für so ein Konstrukt ausreichend ist … :wink:

Grüße

4

Hallo noch einmal,

eine preiswerte Alternative zu IPfire ist eventuell ein Router (Access-Point mit Switch) plus DSL-Modem, auf dem OpenWrt installiert ist. Einrichtung einer OpenVPN Bridge siehe:

https://wiki.openwrt.org/doc/howto/vpn.server.openvpn.tap

Grüße

5

Diesen Nachteil könnte man über subnetting doch minimieren, ohne dass man DHCP, WOL, PXE usw. vom Server aus verliert.

6

hallo,

nun haben wie einen router mit openWRT (bridged vpn) gekauft.

was muss nun am server eingestellt werden ? wir moechten ungerne aufs blaue rumbasteln…

danke schoen

7

Guten Abend,

für einen derartigen Aufbau würde ich den bestehenden Internetzugang über die IPFire - Firewall nicht anfassen, da ein Bridged-VPN mittels OpenVPN, wie bereits geschrieben, meines Wissens derzeit nicht unterstützt wird. Wichtig ist jedoch, dass der Internetzugang nicht direkt an der IPFire-Firewall erfolgt, sondern über ein Transfernetz und z.B. einer Fritzbox implementiert ist. Auf Seite des externen Schulgebäudes ist kein Transfernetz notwendig. Habe das mal in einer Skizze aufgezeichnet, wie ich das aufbauen würde:

Bridged-VPN-Setup.jpg1123×794 43 KB
Falls OpenWrt-B der OpenVPN-Client sein soll, muss noch ein Portforwarding auf der Fritzbox für einen UDP-Port auf OpenWrt-A eingerichtet werden. Auf beiden OpenWrt Routern muss:

  • der Internetzugang konfiguriert werden,
  • das LAN konfiguriert werden,
  • Firewallregeln erstellt werden und
  • der OpenVPN-Tunnel konfiguriert werden.

Einiges an Arbeit und mit Sicherheit kein ganz einfacher Aufbau …

Grüße