Eenvoudige site 2 site VPN blijkt niet zo eenvoudig te ziijn

Ik ben bezig om tussen mijn kantoor en mijn huis een vpn-verbinding te leggen, zodat ik op kantoor bij mijn servers thuis kan en vice versa. Dat is handiger dan constant van VPN wisselen afhankelijk van de locatie

Het internet verkeer wil ik via huis laten verlopen voor als ik op kantoor TV / Netflix / Videoland / etc. wil kijken zonder gezeur of het wel de juiste locatie is.

Ik heb op beide locaties een pc met de laatste versie van pfsense staan en op beide locaties is glasvezel aanwezig. Op kantoor heb ik 100Mb tot mijn beschikking (gedeelde lijn met eigen vlan) en thuis heb ik 1Gb.

Als eerste heb ik OpenVPN geprobeerd, maar geen van beide pfsense routers heb ik verbinding kunnen laten leggen met de andere. Mijn backup-nas staat op kantoor en werkt zonder problemen maanden achtereen met OpenVPN, echter site-to-site krijg ik niet aan de praat; zelfs de router als client-server niet.

Vanwege de snelheid heb ik mijn telefoon, laptop en desktop via WireGuard verbonden met de routers en dat is veel sneller dan OpenVPN, dus een logische vervolgstap is WireGuard als site-to-site VPN.
Het maken van een verbinding is geen enkel probleem. Echter er gaat geen data over de lijn; de teller stopt bij 49Kb

De firewall rules staan op alles van iedereen toestaan op de OpenVPN en WireGuard interfaces, maar er zijn geen states die iets verraden.

Ondertussen heb ik van zowel WireGuard als van OpenVPN meerdere stap-voor-stap handleidingen gevolgd, maar het lukt mij niet om verder te komen dan dat de beide routers elkaar zien.

Heeft iemand een tip voor een handleiding die een wél werkende VPN-verbinding oplevert? Bij voorkeur WireGuard vanwege de snelheid, maar aangezien alle pc's voorzien zijn van (iets oudere) i3 of i5 processoren die hardware compressie ondersteunen kan OpenVPN ook.

Zijn IPsec of L2TP alternatieven? Ik lees dat ze niet echt veilig zijn, maar wel veel gebruikt worden nog?
Tailscale heb ik ook bekeken, maar ben geen fan van een authenticatie server ergens op het internet die niet door mij beheerd wordt. Headscale biedt wel een alternatief, maar wil er eigenlijk helemaal niet zo veel tijd insteken.

Ben nu toch al 5 weken af en aan bezig en zo moeilijk zou het toch niet moeten zijn denk ik...

Ik kan poorten laten openen of doorzetten als dat nodig is, maar voor mijn telefoon, laptop en desktop werkt het wel zonder aanpassingen. Van kantoor naar huis zou dan sowieso moeten werken, maar helaas.

Ik heb het idd geprobeerd om de pfsense router op kantoor dan maar 1 kant op te laten werken, maar zowel OpenVPN als Wireguard krijg ik niet werkend; OpenVPN doet helemaal niks en WireGuard maakt verbinding (groene handjes) maar verder is niks mogelijk.

Er lijkt iets in pfsense te zitten wat kennelijk anders werkt dan bij een "gewone" vpn-client

Thuis staan de poorten open. Op kantoor op mijn pfsense ook, maar het zou theoretisch dan nog in de switch of wat dan ook op kantoor kunnen zitten. Echter...

Volgens mijn logica zou het dan niet mogelijk moeten zijn om vanaf huis met mijn telefoon en laptop een vpn-verbinding naar kantoor te maken en dat lukt wel. Zowel OpenVPN als WireGuard.

Alleen niet met pfsense naar pfsense.

Ik ga morgenochtend ff met de installateur van het geheel bellen. Kijken wat die te zeggen heeft.

Ja zoals ik al schreef heb ik daar ook naar gekeken, maar ben niet zo weg van een server "ergens" op internet die de authenticatie doet. Dan ben je altijd weer afhankelijk van de beschikbaarheid van die dienst, de beveiliging er van en of ze stiekem niet toch info doorverkopen als verdienmodel en dan komt ook nog privacy om de hoek kijken.

Dat is te omzeilen met headscale voor zover ik het zag, maar dat gaat me weer tig uren kosten om mij dat eigen te maken en op te zetten en ook dat moet weer beheert worden.

Ik heb verbinding; WireGuard geeft op beide routers een groene handshake en verder niks. Geen states in beide firewalls (indicatie dat er iets niet lekker gaat) maar ook geen verbinding met de andere kant, ondanks dat de de betreffende IP-range alles mag in beider netwerken.
Er gaat ook zoe goed als geen traffic over. Het staat de hele avond aan en ik zit nu op 103Kb en dat was 49 rond 18u.

Ik heb de logging van de routers nagekeken maar kan daar niks vinden. Ik kan geen server aan de andere kant benaderen. Wel werkt het internet van beide locaties met elk hun eigen externe IP. Het internet verkeer wordt dus niet door de tunnel geleid.

Wat zou ik aan mijn laptop nog moeten instellen bij een site to site?

hjtuinenburg schreef op zondag 16 juli 2023 @ 23:09:
Dan gaat het dus waarschijnlijk over routing.

Zijn de twee subnetten verschillend va elkaar?

yes! 10.1.10.1 en 10.7.1.1

Zijn de pfsense machines de default gateways van de twee netwerken?

euh... de gateway van de 1 is een Freedom server en van de ander een KPN-server. Andere Gateways heb ik niet.

Kunnen de twee pfsense machines elkaar wel pingen ( op het lan-ip en/of vpn-ip )?

Nee, beide lukt niet.

Paul schreef op maandag 17 juli 2023 @ 09:39:
[...]
(default) "gateway" is een term die meestal gebruikt wordt om de default route aan te duiden. Als je met routers en VPN's speelt hoor je te weten (of leren) wat een routetabel is.

Kort gezegd dien je tegen de ene router te zeggen dat'ie 10.1.10.1/24 (even uitgaande van een /24) de VPN op moet sturen, en tegen de andere dat'ie 10.7.1.1/24 de VPN op moet sturen. Als je dat niet doet dan gaat het naar de default gateway (dus het netwerk van je provider op). Ook moet je opletten dat het verkeer niet ge-NAT wordt (maar als pfSense doorheeft dat het de VPN op moet raakt het als het goed is de NAT-regel niet).

ah... Ik zie dat "IPv4 Upstream gateway" op none staat. Moet ik per interface een gateway maken? Dan ga ik mij daar eerst in verdiepen.