pfsense - VPN und wie nun weiter?

F

Fidibus

Active member
Moin,
ja - der übliche Satz - da ist er wieder.
Ich habe aktuell 2 to-do's in meinem Heimnetzwerk: Integration der USV und VPN-Server.
Nachdem meine pfsense nun zumindest per ping im Internet erreichbar ist, stellt sich also die Frage nach dem VPN-Server.
Wireguard vs. OpenVPN.
Hier im Forum gibt es ein Anleitung für OpenVPN, die liest sich gut und es ist auch wahrscheinlich kompetente Hilfe zu erwarten 😎 .
Wireguard gibt es auch Anleitungen, die lesen sich immer etwas konfus und ehr so....bei mir ging das so, aber keine Garantie.
Daher bitte ich einfach mal um Argumente, was ich versuchen sollte.
Ziel ist es, dass ich:
- Homeassistant auf RasPi erreiche und konfigurieren kann über das Webinterface (am LAN-Interface)
- Zugriff auf das NAS habe und ggf. Musik und Film in der Ferne abrufen kann - über Webinterface oder App-da muss ich mich mal schlau machen, wie das eigentlich vorgesehen ist (an einem OPT-Interface)
- Zugriff auf die pfsense, um im Notfall zumindest zu schauen, was los ist
 
Moinsen,
ich würde aus Spass an der Freud und zum Ausprobieren einfach mal beides versuchen und dann selber entscheiden, welches besser gefällt... :)
Auch wenn openVPN gegenüber Wireguard zuletzt oft in den Diskussionen ins Hintertreff geriet ("langsamer", "veraltet"): ich setze hier weiter lieber auf openVPN anstatt Wireguard.
Was auch mal auszuprobieren wäre: IPsec als VPN. Bringt die pfsense auch mit.

Spiel einfach mal rum, schau was dir im Alltag gefällt...die eine pauschale "So ist es am Besten" Antwort wirst du nicht finden zur Auswahl, eher dann später bei der konkreten Einrichtung. :)
 
the other schrieb:
Spiel einfach mal rum, schau was dir im Alltag gefällt
Zum Vergrößern anklicken....
Ja, wenn ich nichts anderes sonst so auf der Liste hätte...
Rein technisch - ok, aber ich möchte ungern etwas einkonfigurieren, mich freuen wenns fast klingelt, nur um dann festzustellen, diese oder jene Anforderung löppt nicht.
Und dann zu hören - hättest mal gleich gefragt :ROFLMAO:
Ich habe allein im Netzwerk USV (schon da) VPN-Zugriff und Redundanz für worst case auf dem Schirm.
Dazu muss ich ein Haufen im Homeassistant für PV-Anlage zusammenbasteln und erforschen.
Dann habe ich ja auch noch Hobbies 🫣.
Du siehst - ich hab es schwer ;).
Deshalb freue ich mich, wenn ich den einen oder anderen Fettnapf umschiffen kann.
Da fällt mir ein - gibt es eigentlich so eine Art "Honeypott" für Privatanwender, nur so als Indikator im Netzwerk?
 
Moinsen,
ja, ich weiß was du meinst...:) Life is short!
Trotzdem: eine vorab Empfehlung kann ich so nicht geben, hat eben alles Vor- und Nachteil, Stärken und Schwächen...
Du kannst da aber selber mal recherchieren, und so selber eine Vorauswahl treffen, was deinen Ansprüchen näher kommt...
https://www.privacyaffairs.com/de/wireguard-vs-openvpn/ zum Beispiel oder auch https://www.itworks-ag.de/blog/wireguard-vpn-die-moderne-alternative-zu-openvpn-und-ipsec als erste Idee...

USV sollte eigentlich schnell abgefrühstückt sein, das ist ja nicht so komplex (behaupte ich mal in meinem jugendlichen Leichtsinn). ;)

Honeypot gibt es auch, kannst du dir zusätzlich was basteln...nur: warum? Und wie passt das mit "Hui, wenig Zeit, viel zu tun, andere Hobbies und das Leben warten auch..."? :D
Bedenke: nur da was hinstellen und den Beifang einsammeln ist nur die halbe Miete, du musst das dann auch protokollieren, auswerten, interpretieren und ggf. anpassen...willst du das? Kannst du das? Ist das wichtig?
Was ich immer mal mache: ich habe zB nur den Port für VPN offen, da kann ich dann immer mal schauen, wer sich so alles auf dem Port meldet bzw. versucht, da anzuklopfen. Auch kann dabei schön gesehen werden, was das GeoIP Blocking wegfängt (mal mit, mal ohne).

Generell: ja, es ist wichtig, im Netzwerk zu schauen, was da so geschieht. ABER: es ist ein Heimnetz! Klaro kannste jetzt ein riesiges Monitoringsystem auffahren: checkMK, IDS, honeypot, überall logging in der firewall aktivieren...alles super, alles berechtigt. Muss aber auch alles analysiert und kontrolliert und reguliert werden. Wie oft? Wer kann das? Wer braucht das? Welche Relevanz hat es im Alltag? :)
 
Da ich mittlerweile den „keep it simple“ Spirit nacheifre, würde ich dir OpenVPN empfehlen, da du selbst schreibst…
Fidibus schrieb:
Hier im Forum gibt es ein Anleitung für OpenVPN, die liest sich gut und es ist auch wahrscheinlich kompetente Hilfe zu erwarten 😎
Zum Vergrößern anklicken....
Ich nutze hier ebenfalls OpenVPN und bin damit superzufrieden. Später kannst Du immer nochmal mit WireGuard oder IPSec rumspielen.

Tommes
 
Danke für eure Meinungen. Die Entscheidung ist gefallen - Start mit OpenVPN.
Also...bald folgen hier die Fragen 😎 .
 
Moin,
erste Frage, ich hoffe, das ist ggf. im Nachgang auch zu ändern:
Meine Hardware Protectli FW4C - 4 Port Intel® J3710:
1699805354643.png
Welche Auswahl ist dann bei Crypto Settings die Richtige?
1699805589077.png
Laut Anleitung (das Markierte) oder Intel RDRAND...
 
Moinsen,
jau, wie in der Anleitung gesagt: das Markierte. Und ja, das geht auch nachträglich problemlos (zumindest meiner Erfahrung nach).
:)
 
Puhhhh...und gleich die nächste Erfahrungsabfrage:
Zitat aus der Anleitung:
"Wichtig: der Adressbereich des VPN Netzes muss sich von den anderen bereits bestehenden Adressbereichen unterscheiden! Angenommen, du bist bei Freunden zu Besuch. Du darfst deren WLAN mit dem Adressbereich 192.168.178.0/24 nutzen. Dein eigenes Heimnetz, welches du erreichen möchtest, hat den Adressbereich 192.168.25.0/24. Für den Adressbereich des VPN Netzes darfst du folglich diese bereits genutzten Adressbereiche nicht eintragen (1)."
Ich würde jetzt aus meiner Beoabachtung heraus auf einen hinteren 172er Bereich ausweichen.
192.168. hat wirklich jeder, auch in den verschiedenen Dekaden. Auch 10er begegnen mir oft.

Zustimmung oder denke ich falsch?
 
Ergänzung:
Ist es sinnvoll eine /30 zu wählen?
2 Hosts sollten doch bei meinem VPN reichen - oder vergesse ich gerade was?
 
Moinsen,
für das Tunnelnetz würde ich auch eher keinen 192.168.x.y Bereich nehmen, weil der (wie du ja selber sagst) doch recht verbreitet ist (Fritzbox usw). Wichtig ist lediglich, dass es da keine Dopplungen gibt.
Ich nutze zb ein 192.168.x.x für die Fritzbox und deren LAN, ein 172.16.y.y für alles hinter der pfsense und ein 10.0.z.z für den VPN Tunnel. Kannst da aber auch alles in einem 10.0.z.z Bereich haben, solange es eben keine Überschneidung in den ersten drei Blöcken gibt.

Zur zweiten Frage: ich hab da stumpf ein /24 belassen und erlaube im Anschluss nur max. 2 Clienten gleichzeitig die Tunnelnutzung...sicherlich kannst du es durch Anpassung der CIDR eingrenzen. War / ist mir nicht so wichtig, gestehe ich ein... ;)
 
Ok, danke.
Die Anleitung differiert zu den tatsächlich inzwischen angebotenen Varianten.
daher:
1699807801164.png
Ich wähle hier mal 2, nur für den Fall, dass ich zu Hause noch angemeldet sein sollte.
 
Da muss man nur mal genau hingucken:

1) Für welche IP-Protokoll-Version gilt Deine OpenVPN-Regel auf dem WAN-Interface?
2) Mit welcher IP-Protokoll-Version verbindest Du Dich?

☺️

P.S.: Für welche IP-Protokoll-Version hast Du ICMP zugelassen? 😁 Also wenn Du es für einen DualStack-Betrieb gedacht ist, solltest Du Regeln auch immer für "beide" IP-Protokoll-Versionen setzen.
 
Fidibus schrieb:
Nach meinem Verständnis jetzt für V6. :cool: :sleep:
Zum Vergrößern anklicken....
Das sah unter #14 noch anders aus, weswegen #16 auch keine Überraschung war 😄

Da ich keine Ahnung habe, was bei Dir sonst noch so an Regeln existiert... Pack die IPv6/1194/UDP-Regel (oder erstell einfach temporär eine zusätzliche) Floating-Rule, die sollten vor allen anderen greifen... Nicht, dass da irgendwas anderes blockiert (Logging einschalten nicht vergessen).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 41 (Mitglieder: 1, Gäste: 40)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.591
Beiträge
46.963
Mitglieder
4.234
Neuestes Mitglied
andreassw14

Teilen

Zurück
Oben