Site2Site VPN, bevorzugt OpenVPN: beste Lösung?

[HighTech-Freak]

Hallo Community,
ich suche eine Lösung für folgendes (simple) Problem:
2 unabhängige Netzwerke: Daheim [DH] und Ferienwohnung [FW] (nennen wir's mal so) sollen miteinander verbunden werden. Beide Netzwerke sollen das gleiche Subnetz haben, in dem Fall 192.168.192.X. Beide Netzwerk haben einen eigenen NAT-Router mit eigener DHCP-Vergabe -und das soll auch so bleiben!

• [DH]: Router, DNS & Gateway=192.168.192.254: DHCP von 192.168.192.11-192.168.192.50
• [FW]: Router, DNS & Gateway=192.168.192.001: DHCP von 192.168.192.51-192.168.192.100

In [DH] steht ein ESXi-Server auf dem ich noch 4GB RAM zur Verfügung habe und plane Vyatta als VPN-Server einzusetzen (Port wird am Router zu Vyatta weitergeleitet).
In [FW] steht ein Mac Mini Server 10.7. Dieser sollte als VPN-Client agieren.

Die TAP-Interfaces sollten jeweils als Brücke agieren, damit ich quasi ein übergreifendes LAN habe.
Allerdings dürfen die DHCP-Anfragen nicht über die Bridge gehen, sonst bekommen die Geräte "auf der anderen Seite" eventuell das falsche Gateway und der ganze Internettraffic geht durchs VPN, was weniger optimal wäre... Das ist derzeit das größte Problem: wie unterbinde/firewall ich den DHCP-Traffic durch die Brücke?

EDIT: Bevor die Frage kommt "Warum unbedingt ein VPN?": Ja, ich weiß, es gibt noch andere Möglichkeiten auf Geräte im anderen Netz zuzugreifen, Port-Forwarding & entsprechende Firewall-Config zum Beispiel, aber ich will mir nicht alle Shortcuts doppelt anlegen. Ein VPN ist einmaliger Konfigurationsaufwand und dann war's das. Auf die Dauer einfach einfacher -und auch sicherer.

Danke & LG,
Thomas

 

[Sannyboy111985]

Was hälst du von der Idee das es andere Subnetze sind und damit die VPN Komponenten auch noch das Routing zwischen den Netzen machen, dann brauchste aber noch ein DNS auf jeder Seite.

Die andere Methode wäre per Firewall auf den VPNs das weiterleiten von DHCP zu verbieten.

 

[pylaner]

Das Konstrukt ist unsinnnig, ohne Subnetting kommst du da nicht sehr weit.
2 Gateways in einem Netz, 2 DHCPs in einem Netz (welches du dann hast wenn das VPN läuft)..wieso?

Desweiteren kommt es auch zu Problemen wenn du VPNs zwischen 2 identischen Netzen aufbaust...ich würde das so nicht realisieren.

 

[HighTech-Freak]

Danke für Euren Antworten!

Das Konstrukt ist unsinnnig, ohne Subnetting kommst du da nicht sehr weit.

Warum?

2 Gateways in einem Netz

sind kein Problem... is nur die Frage was der Client als Gateway benutzt,

2 DHCPs in einem Netz (welches du dann hast wenn das VPN läuft)..wieso?

Beide Standorte haben ihren eigenen DHCP-Server und Adressbereich. Die Brücke sollte DHCP-Verkehr ja auch gezielt rausfiltern, somit bekommt immer jeder Standort nur vom eigenen DHCP-Server die Adresse -und damit das eigene Standardgateway zugewiesen. Die Brücke verhält sich ja letztlich wie ein Layer 2 Switch... nur mit Paketfilter, der die DHCP-Pakete rausfiltern soll.

Desweiteren kommt es auch zu Problemen wenn du VPNs zwischen 2 identischen Netzen aufbaust...ich würde das so nicht realisieren.

Mir is klar, das Routing die sauberere Lösung wäre, hat jedoch einen entscheidenden Nachteil: Routing muss vom Standardgateway durchgeführt werden oder auf jedem Client extra konfiguriert werden.
Nachdem meine NAT-Gateways beide nicht unbedingt die Feature-reichsten sind, is Routing mit bestehenden Mitteln nicht machbar. Außerdem bringt Routing einige Nachteile mit sich. Welche Probleme wären das, die Du da angedeutet hast?

Danke!

LG, Thomas

 

[pylaner]

DHCP z. B. arbeitet mittels Broadcast, wie du sicher weist. Nun antworten plötzlich 2 DHCPs, da sie ja im selben Netz sitzen, ergo ergibt das auf jeden Fall Ärger.
Jetzt kommst du bestimmt mit deinem "Paketfilter" (wie immer du das realisieren willst wenn sie nicht sehr reich an Features sind), dies halte ich aber für zu aufwendig. Du musst hier mit Hostbezogenen Firewallregeln arbeiten, auch wieder weil du in einem Netz sitzt. Das ist Mehraufwand den du dir sparen könntest.

Nimm das eine Netz und setz in ein anderes Subnet, so das du 2 verschiedene SN hast.
Fertig und läuft. Lieber einmal richtig anstatt danach zu frickeln.

 

[HighTech-Freak]

Netzwerkstruktur sieht wie folgt aus:

Mac Mini --- UPC-WiFi-Router/Kabel/Modem (All-In-One) --- WAN --- D-Link 825 WiFi-Router --- ESXi

D.h. die Geräte, die das VPN bilden sollen, stehen jeweils hinterm NAT-Gateway.
Die VPN-Geräte kann ich nicht als WAN-Router einsetzen mangels Ethernet-Ports/Modem und die NAT-Gateways sind zu dumm für VPN/vernünftiges Routing (wobei es der D-Link vlt. sogar könnte).
Das zusätzliche Problem am Routing ist, das ich vermutlich um ein paar UPNP-Features diverser Mediageräte umfalle sowie eventuell auf Probleme bei diversen anderen Diensten stoße, die nur im eigenen Subnetz suchen (wie viele LAN-Games).
D.h. final sollte das so aussehen:

[FW] --- transparente Netzwerkbrücke (MacMini <-> Vyatta) --- [DH]

Entweder die Vyatta Firewall oder die OSX-Firewall (eins von beiden reicht, wobei ich nach Möglichkeit vyatta dafür heranziehen will) müsste nur den DHCP-Traffic zuverlässig blocken.
Mittlerweile habe ich was gefunden, was auch so ähnlich in meinem Fall funktionieren könnte... http://www.vyatta.org/node/6707

LG, Thomas