PfSense + Asus router site2site bidirectional openvpn

[McPaHa]

Moi!

Ennen kuin alan pykäämään niin kuinka onnistuisi. Eli tarvetta olisi saada mökille (jossa kuituyhteys dynaamisella julkisella ip:llä) site2site bidirectional openvpn yhteys. Tarve on siis päästä kiinni mökillä olevaan turvakameraan (nvr-softan) ja toisaalta mökiltä pitäisi päästä kiinni NVidia shieldillä kodin sisäverkkoon. Kuitenkin niin että vain liikenne joka on tarkoitettu kodin sisäverkkoon menee mökiltä tunneliin. Muu liikenne menisi suoraan nettiin...

Vastaavasti kodin liikenne suoraan nettiin pl. tuonne tunneliin menevä...

Kotona priva c-luokka 192.168.1.0 ja mökillä 192.168.100.0
Kotona pfsense palomuuri jossa openvpn server & client
Mökille tulisi joku Asuksen purkki jossa openwrt.

Onko mitään järkeä / parempia ideoita?

 

[mikajh]

joku Asuksen purkki jossa openwrt

Kunhan flashia on mielellään enemmän kuin 16 MB. Tuolla määrällä voi joutua vähän taiteilemaan eli koostamaan oman imagen ilman turhia paketteja. 8 MB:lla ei taida kannattaa edes yrittää

 

[McPaHa]

Joo itse mietin samaa... Toinen vaihtoehto on mennä simppelimmpin...

NAT-avaus tuolle kameralle ja sitten Asuksen purkista openvpn-client kodin pfsenseen ja unohtaa tuon bidirectonialin... En ole Asuksen purkilla vielä clienttia kokeillut... saako sillä ohjattua tuonne tunneliin vain haluamansa liikenteen vai meneekö tunneliin kaikki?

 

[zepi]

Tuollaisessa bi-directional VPN-tunnelissa oleellista on saada routereiden routet kuntoon. Käytännössä niin, että 192.168.1.0/24 routataan mökiltä VPN-tunnelin läpi ja vastaavasti kotona 192.168.100.0/24 routataan tunnelin yli. Muuten kaikki muu default-GW:n yli internettiin.

Minulla oli joskus tuollainen site-to-site conffattuna, mutta eipä siitä kotona muuta iloa ollut kuin se konffaamisen hupi. Tuo toimii kyllä mainiona routing / vpn-konffauksen ymmärryksen kehittäjänä.

OpenVPN:n sijaan koittaisin varmaankin käyttää nykyisin Wireguardia.

WireGuard: fast, modern, secure VPN tunnel

WireGuard: fast, modern, secure VPN tunnel

www.wireguard.com

edit:
Itseasiassa mulla on nyt projektina wireguard tunneli himasta anoppilaan. En kuitenkaan ajatellut koskea sikäläiseen kuidun perässä olevaan routeriin/sen konffeihin, vaan työnsin edellisellä visiitillä raspberrypi:n sinne routeriin kiinni. Tarkoituksena ajan kanssa konffailla joku off-site backup systeemi tunnelin yli.