Pfsense site-to-site setup

[joriz]

Ik ben bezig met het uitwerken van een Pfsense site to site setup. Aangezien dit de eerste keer is dat ik met pfsense werk zou ik graag van iemand bevestiging krijgen of deze setup ook wel werkt.

Het gaat over het verbinden van 2 locaties (A en B) via Open VPN, 1 kant is server, de andere kant client. Op beide locaties zal Pfsense draaien in Hyper-V. De virtuale machine krijgt 2 nic's toegekend. 1 nic voor het external network zodat er verbinding is met de linksys router en 1 nic voor het private netwerk.
In het private netwerk zullen ook servers en clients virtueel draaien. Willen deze communiceren met de andere locatie dan zal dit verkeer verlopen via de Pfsense machine welke dan de data over de vpn verbinding stuurt.

De linksys routers (ddwrt firmware) kunnen ook een vpn opzetten maar ik zou deze bakjes daarmee willen ontlasten (trage cpu's).

- Gaan de clients voor internet toegang achter de linksys routers hinder ondervinden van de vpn connectie? Ik veronderstel van niet aangezien pfsense de vpn opzet en niet de linksys router?

- Hoe reageert OpenVPN wanneer beide locaties achter NAT zitten? Volgens Google gaat OpenVPN hier gewoon doorheen?

[Petervanakelyen]

Gaan de clients voor internet toegang achter de linksys routers hinder ondervinden van de vpn connectie? Ik veronderstel van niet aangezien pfsense de vpn opzet en niet de linksys router?

Nee, die clients komen voor de VPN dus ondervinden er geen last van.

Hoe reageert OpenVPN wanneer beide locaties achter NAT zitten? Volgens Google gaat OpenVPN hier gewoon doorheen?

Geen probleem, je moet wel de juiste poort openzetten voor de OpenVPN server natuurlijk.

[conehead]

En waarom kies je voor openvpn ? Meestal doe ik dit via ipsec en dacht dat dit ook wordt aangeraden voor site to site en hinder zal er idd niet zijn

[joriz]

Ik heb geen ervaring met beide maar volgens hetgene wat ik gelezen heb zou openvpn minder problemen geven wanneer het achter NAT zit.

[conehead]

ik heb ooit dat boekje gekocht dat bij de firewall hoorde en hier raden ze ipsec aan voor site to site vandaar dat ik dat op verschillende locaties zo heb ingesteld. Op andere sites geven ze dan weer openvpn op als beter initiatief ...

Tot op heden alvast nog geen problemen met ipsec ondervonden en het opzetten is ook een fluitje van een cent.

[joriz]

Om even terug te komen op deze setup. Omdat de setup lichtjes veranderd is loop ik tegen een probleen aan.
Voor locatie B heb ik een dedicated server in een datacenter met 1 ip adres en dus ook 1 nic, deze staat op DHCP ingesteld. De Windows server met hyper-v krijgt een publiek ip adres toegekend, hierdoor kan ik de Pfsense virtuele machine niet laten communiceren met het internet en is dus een vpn connectie niet mogelijk.

Ik dacht eerst NAT te activeren op de Windows server maar dit gaat niet met 1 nic. Een extra nic bij laten plaatsen gaat blijkbaar niet...
Als ik een extra ip adres bestel en dit toeken aan de virtuele WAN nic van pfsense zou dit dan wel kunnen werken? Uitendelijk loopt het verkeer dan nog altijd via 1 nic.

[ubremoved_539]

Geef je pfSense het enige IP dat je hebt... en de Windows server zelf één uit een private range.

[joriz]

Als ik dat doe valt de connectie weg en kan ik niet meer connecten, ook niet naar de pfsense box via public ip.
Na wat zoeken heb ik een ip failover adres aangevraagd voor de server. Via de management tool kan ik dit ip adres koppelen aan een virtual mac address.
Wanneer ik dan dit mac address toewijs in de nic config van de vm en het ip failover adres instel in het os dat virtueel draait kan deze vm op internet.

Bovenstaand werkt blijkbaar enkel op een windows machine en niet op linux, heel raar maarja. Uren zitten zoeken en alles zitten dubbelchecken maar zie het niet.

EDIT: opgelost door een statische route toe te voegen op pfsense