GRE over IPSEC (EdgeRouter/pfSense)

Hoi mede-tweakers,

Momenteel ben ik bezig met het uitbreiden van mijn kennis met betrekking tot VPN en dan met name site-to-site VPN en het routeren van internetverkeer over zo'n site-to-site tunnel.

Thuis heb ik een EdgeRouter 12. Het internet deel ik met mijn 2 buren en de winkel onderin het pand. Ik heb een aantal servers waarop ik mijn WAN IP gewhitelist heb in de firewall. Omdat dit een dynamisch IP is loopt er op de servers een script dat elke 5 minuten checkt of de DDNS gewijzigd is en UFW hierop aanpast.

Omdat ik ook remote in EdgeRouters die ik beheer wil kunnen en ik niet weet hoe ik dit script aan de praat moet krijgen op een EdgeRouter, heb ik een remote user VPN-server (wireguard en OVPN) in de cloud draaien met uiteraard een vast IP. Ik vind het echter niet handig om als ik thuis ben (wat ik dus vaak ben) telkens met VPN te moeten verbinden. Daarnaast vind ik het ook niet helemaal ideaal dat ook gasten en mijn buren bij mijn server zouden kunnen omdat ze hetzelfde IP gebruiken.

Mijn idee is dus om een apart vlan te maken die standaard via een VPS routeert. Allereerst zit deze VPS ook in de VPC van mijn andere servers. Tevens heb ik dan automatisch een vast IP als ik verkeer naar 0.0.0.0/0 over deze tunnel routeer.

Ik heb geprobeerd om een IPSEC tunnel tussen de ER en Strongswan op Ubuntu aan de praat te krijgen, maar dit kreeg ik helaas niet werkend. Wel heb ik nu een pfSense install draaien op een VPS en een IPSEC tunnel aan de praat. Dit is echter een Policy-Based IPSEC tunnel, omdat Route-Based(VTI) niet kan met een FQDN (en dus met een dynamisch IP niet werkbaar is). Over een Policy-Based IPSEC tunnel kan ik echter geen routeringen doen naar buiten.

Een optie is om een GRE tunnel op te zetten over IPSEC. Dit krijg ik echter niet aan de praat. Volgens mij zou ik het wel tussen 2 EdgeRouters werkend kunnen krijgen (zou dan een tunnel tussen loopback adressen moeten). Hoe ik dit echter op pfSense werkend krijg is mij niet duidelijk.

Is er iemand die me kan vertellen hoe ik dit in zou moeten stellen? Na enkele uren Googlen durf ik wel te stellen dat ik zelfstandig het antwoord niet ga vinden.

Ook alternatieve oplossingen als suggesties zijn welkom! (Bijvoorbeeld OpenVPN of L2TP als remote user, maar dit gaat dan helaas wel ten koste van de offloading wat met IPSEC gewoon wel zou moeten kunnen).

BAJansen schreef op donderdag 1 april 2021 @ 16:23:
In plaats van GRE over IPSEC kun je ook gebruik maken van IPSEC en VTI om zo een route-based VPN te realiseren.

https://help.ui.com/hc/en...ed-Site-to-Site-IPsec-VPN

Voor zover ik heb begrepen wil dit alleen met een IP en niet met een FQDN als peer. En aangezien ik een dynamisch IP heb bij Ziggo is dat niet echt een werkbare situatie. (Als ik namelijk elke keer handmatig dat IP moet wijzigen dan kan ik net zo goed een remote user VPN gebruiken)

Jeroen_ae92 schreef op donderdag 1 april 2021 @ 16:08:
Als je niet persé de IPSEC variant nodig hebt voor bijvoorbeeld performance, heb ik zelf goede ervaringen met OpenVPN tussen Edgerouter en Pfsense. Dit werkt dan wel op basis van FQDN en is een interface dus interface based routeerbaar en heeft de mogelijkheid tot het aanbrengen van een firewall ruleset op de vtun interface. En kan prima achter NAT fungeren. Ik wil niet anders meer.

OpenVPN is inderdaad een alternatief, maar de offloading is dan wel een dingetje. Eigenlijk wil ik tijdens werk gewoon in het netwerk hangen waarop ik via de VPS ga, en dan internet ik dus via de verbinding. Als ik dan tot 25Mbps ben gedoemd, dan moet ik elke keer als ik even een download wil doen switchen van netwerk.

[ Voor 40% gewijzigd door Qlimaxxx op 01-04-2021 16:38 ]

Frogmen schreef op vrijdag 2 april 2021 @ 11:01:
@Qlimaxxx Zoals eerder gezegd is het aantal keer dat bij Ziggo je IP adres wijzigt nihil of zelfs kleiner dan nihil. Is ook logisch want hierdoor kan misbruik veel beter nagetrokken worden en is het beheer ook simpeler. Ik heb in alle jaren nog nooit een wijziging meegemaakt dus zou me daar iets minder zorgen over maken.

Brahiewahiewa schreef op donderdag 1 april 2021 @ 17:25:
[...]

Hoe vaak wijzigt dat IP bij jou? Ik heb al 9 jaar hetzelfde IP van ziggo; heeft zelfs een verhuizing overleefd

Het IP wijzigt niet heel vaak, maar ik heb al meerdere keren en ander IP gekregen. Enkele dagen terug nog, toen had Ziggo een storing 's ochtends. Ik moest toen mijn modem herstarten en kreeg een ander IP.

Mijn ervaring is, het kan zomaar een jaar hetzelfde zijn. Echter heb ik ook wel eens 3x een nieuw IP gehad in 1 week (toen Ziggo onderhoud aan het plegen was aan de wijkcentrale en ik meerdere onderbrekingen had).

valkenier schreef op donderdag 1 april 2021 @ 17:29:
[...]


Kan je die remote Edgerouter niet laten verbinden met een locale UNMS bij jou thuis obv een ddns URL? Via UNMS kun je dan gewoon bij de CLI van die edgerouters, en een deel kun je gewoon via UNMS zelf doen natuurlijk.

Ik draai al UISP (nieuwe naam van UNMS) in de cloud, dus ik zie het voordeel van een lokale instance niet. Ik kan inderdaad via UISP in de routers, maar voor soms is het gewoon handig om in de GUI te kunnen. En soms moet ik ook via RDP bij een klant naar binnen, en dan is het wel prettig dat ik niet eerst via UISP de firewall moet aanpassen.

Ik zeg niet dat er niet meerdere wegen zijn die naar Rome leiden, maar ik maak het graag makkelijk en veilig. Met de nadruk op veilig En daarnaast doe ik dit ook om gewoon meer ervaring met VPN tunnels te krijgen.

Faifz schreef op donderdag 1 april 2021 @ 18:26:
[...]


Het kan wel omdat het resolven van een FQDN niks speciaal is. Palo Alto's zijn route-based en heb de mogelijkheid om FQDN als IP te gebruiken.

Phase 2 zou er ongeveer zou moeten uitzien:

VPS: Local network 0.0.0.0/0 & Remote Network 192.168.1.0/24
Thuis: Local network 192.168.1.0/24 & Remote Network 0.0.0.0/0

Ik verneem bv dat je WAN IP 20.10.10.50 (thuis) is en de default gateway ervan is 20.10.10.1. En het publieke adres van je VPS is 50.50.50.50. De volgende static routes voeg je dan toe:
1) 50.50.50.50/32 & next-hop 20.10.10.1 met metric 1 en de interface je WAN interface
2) 0.0.0.0/0 en metric 25 met tunnel als interface


[...]


Dit is waarom je beter af bent met segmentatie. Op de meeste firewalls (vooral pfsense) is alles binnenin dezelfde interface/subnet volledig toegelaten, dus alle protocollen/poorten. Dus bv als je traffic probeert te blokkeren van 192.168.1.100 naar 192.168.1.101 - doen block regels helemaal niets.

Je gaat uiteindelijk een nieuwe interface moeten aanmaken met een andere subnet en zo kan je traffic wel blokkeren met firewall regels.

https://www.reddit.com/r/...tetosite_ipsec_vpn_using/

Uit dit topic begrijp ik dat VTI's met Edgerouters niet werken met FQDN. Hier heb ik ook de suggestie vandaan om GRE over IPSEC te gebruiken. Ik heb dit ook op het Ubiquiti forum voorbij zien komen, maar dat topic kan ik zo 1,2,3 niet vinden.

Als jij een manier weet waarop ik dit (met de hardware die ik heb) wel aan de praat kan krijgen, dan hou ik me graag aanbevolen. Maar ik heb geen Palo Alto gear en ben ook niet van plan dat te kopen

Frogmen schreef op vrijdag 2 april 2021 @ 14:25:
Maar waarom wil je dan niet voor die gevallen een VPN tunnel opzetten met een VPN client. Vanuit veiligheid lijkt het mij niet wenselijk dat je continu tunnels open hebt staan naar al je klanten. Als jij gehackt bent of iets zijn ze ook bij al je klanten binnen. Niet fijn.

Fair point! Ik ga het heroverwegen om zelf zo toe te passen. Wellicht zal ik in de firewall van de ER gewoon verkeer richting mijn servers blokkeren voor de subnetten van de buren (uiteraard alles netjes gescheiden).

Dan blijven er natuurlijk alsnog situaties denkbaar waarbij het wel handig is om een GRE tunnel via een IPSEC VPN te laten lopen. Of des noods met OVPN. Beiden krijg ik niet geheel aan de praat tussen Edgemax en pfsense.