ruder
Anmeldungsdatum: 20. Dezember 2008
Beiträge: 94
|
Hallo ubuntuusers, vielleicht kann mir jemand helfen. Ich möchte in einer Firma, in einer remote location, einen Raspberry Pi hängen, der mit dem HQ ein VPN herstellt. Im HQ befindet sich eine pfsense.
Das ganze mit wireguard. das wäre nicht so schwierig. Ich möchte aber den Pi gleichzeitig für ein 'dial-in VPN' verwenden. Dazu benötige ich ja zwei wireguard interfaces, zB wg0 und wg1.
wäre auch nicht so schwierig, jetzt aber die Frage ich muß ja über beide Interfaces natten. Und jetzt hakt es aus.
Vielen Dank
ruder
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
ruder schrieb: ..., jetzt aber die Frage ich muß ja über beide Interfaces natten. ...
Warum musst Du natten? ... denn WireGuard gibt es für (fast) alle Betriebssysteme (Geräte).
|
ruder
(Themenstarter)
Anmeldungsdatum: 20. Dezember 2008
Beiträge: 94
|
In der remote location sind zwei Kassensysteme, das wird nicht gehen
und zum dial in will ich ja nicht auf die Pi sondern die Rechner in der location, zur Fernwartung.
Oder habe ich da etwas falsch verstanden?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
ruder schrieb: ... sondern die Rechner in der location, zur Fernwartung.
Kannst Du auf diesen Rechnern, WireGuard nicht installieren?
|
ruder
(Themenstarter)
Anmeldungsdatum: 20. Dezember 2008
Beiträge: 94
|
Also die Frage ist kann ich einen VPN Tunnel B2B erstellen (hier wäre die Pi quasi client) und gleichzeitig einen Remote Access (hier wäre die Pi sozusagen server).
Deswegen werde ich mit wireguard zwei Interfaces haben. Nach meinem Verständnis muß ich für beide Interfaces NAT einrichten
so à la
| iptables -A FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.200.200.0/24 -o eth0 -j MASQUERADE
|
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
ruder schrieb: Also die Frage ist kann ich einen VPN Tunnel B2B erstellen (hier wäre die Pi quasi client) und gleichzeitig einen Remote Access (hier wäre die Pi sozusagen server).
Deswegen werde ich mit wireguard zwei Interfaces haben. Nach meinem Verständnis muß ich für beide Interfaces NAT einrichten
so à la
| iptables -A FORWARD -i wg0 -o wg0 -m conntrack --ctstate NEW -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.200.200.0/24 -o eth0 -j MASQUERADE
|
Ich verstehe deine Konstellation nicht. Aber mit dem WireGuard kannst Du peer-to-peer-Verbidungen oder server-to-peers-Verbindungen konfigurieren. Zwei WireGuard-Interfaces werden nur dann benötigt, wenn es zwei verschiedene WireGuard-VPNs gibt.
|
ruder
(Themenstarter)
Anmeldungsdatum: 20. Dezember 2008
Beiträge: 94
|
Ich habe hier eine Skizze gemacht https://wiki.coco-mundy.fr/net.jpg Die Kassensystem (Location) werden über ein VPN mit dem Server (HQ) verbunden.
Gleichzeitig können externe Mitarbeiter auf das Location-Netz zugreifen. Zum Beispiel zu Wartungsarbeiten.
Am eigentlichen Router (Location) dürfen nur Ports geforwarded werden, weitere Konfiguration ist nicht möglich ...
|
micneu
Anmeldungsdatum: 19. Januar 2021
Beiträge: 221
|
leider habe ich das aus deinen texten nicht finden können.
1. du hast doch laut bild in jedem standort einen sense stehen (beides die gleichen symbole)?
2. warum machst du dann nicht das vpn auch über die sense?
der vorteil über die sense, du kannst ja die regeln genau definieren welcher tunnel wo hindarf
|
ruder
(Themenstarter)
Anmeldungsdatum: 20. Dezember 2008
Beiträge: 94
|
Ich hatte gehofft, dass folgende config auf der pi funktioniert
[Interface]
PrivateKey = <pi private key>
Address = 10.200.240.2/32
ListenPort = 51821
DNS = 8.8.8.8
[Peer]
PublicKey = <pfsenseHQ public key>
AllowedIPs = 0.0.0.0/0
Endpoint = <pfsenseHQ IP>:51820
[Peer]
PublicKey = <remote client public key>
AllowedIPs = 10.200.240.11/32 Hat jemand Rat? BTW: der Router in der Location ist eine Fritzbox.
|
micneu
Anmeldungsdatum: 19. Januar 2021
Beiträge: 221
|
also, du hast im HQ eine sense und in der filiale einen fritzbox, dann mach doch ipsec zwischen sense und fritzbox.
ich habe 3 ipsec tunnel zu 3 fritzboxen an meiner sense.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
ruder schrieb: Was genau meinst Du mit "Remote Client" bzw. wo befindet sich dieser Remote Client und wo kann er nicht rein? EDIT: Betr. "AllowedIPs = 0.0.0.0/0", siehe z. B.: https://forum-raspberrypi.de/forum/thread/51867-wireguard-verstaendnisfrage/
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
micneu schrieb: ich habe 3 ipsec tunnel zu 3 fritzboxen an meiner sense.
Ja, denn auf WireGuard muss die sense noch etwas warten. 😉
|
micneu
Anmeldungsdatum: 19. Januar 2021
Beiträge: 221
|
hier vieleicht hilft dir das, auch wenn ich nicht ganz verstanden habe was du da baust.
https://forum.ubuntuusers.de/topic/ipsec-fritzbox-config-tool/
mit meinem tool kannst du die ipsec konfiguration für eine fritzbox erstellen oder für linux systeme.
bitte nicht böse nehmen, aber so wie deine schilderungen sind hast du nicht viel ahnung von netzwerken oder?
|