Zwei Subnetze im internen Netz hinter VPN-Zugang

kugman · Nov 24, 2016, 9:10 PM

Hallo zusammen,

meine Konfiguration sieht so aus:

Im WAN-Interface ist die statische IP von meinem ISP konfiguriert, meine LAN-Seite hat eine IP aus meinem privaten Subnetz (10.47.211.0 /24)
Ich habe aber noch ein zweites internes Subnetz (192.168.47.0/24). in diesem Subnetz stehen hauptsächlich Ressourcen, die ich per VPN zugänglich haben muss.

1.) Wie konfiguriere ich zum einen meine PFSense, so dass sie beide Subnetze als interne LANs erkennt und
2.) wie schaffe ich es, beide Netze per VPN-Client zu erreichen?

vielen Dank für die Unterstützung

Grüße
Markus

JeGr · Nov 24, 2016, 10:41 PM

1.) Wie konfiguriere ich zum einen meine PFSense, so dass sie beide Subnetze als interne LANs erkennt und

Du hast 2 verschiedene IP Ranges auf dem gleichen Layer 2 Netz also am gleichen Switch etc. ohne separates VLAN? Das würde ich ändern, das ist recht unschön!

2.) wie schaffe ich es, beide Netze per VPN-Client zu erreichen?

Genau wegen sowas ist es unschön. Aber du schreibst auch nicht was für ein VPN. Bei OpenVPN müsstest du bspw. nur mehrere Routen pushen, damit eben beide Netzsegmente via OVPN Gateway erreichbar sind.

kugman · Nov 25, 2016, 9:36 PM

Oh Entschuldigung, es handelt sich um das klassische IPSec-VPN, mit dem ich per Windows 10-Client (oder iPhone) zugreifen kann. IKEv2 mit EAP-MSCHAPv2 (https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2)

Das mit den VLANs scheint mir sinnvoll, ich habe allerdings absolut keine Ahnung, wie ich mit VLANs umgehe, geschweigedenn wie ich sie richtig einsetze (tagged, untagged, etc…)

jahonix · Nov 25, 2016, 11:51 PM

@kugman:

…keine Ahnung, wie ich mit VLANs umgehe...

Wieviele Netzwerk-Karten hat Dein Router denn? Bei 3 oder mehr hast Du auch gewonnen.
Dann könntest Du ein zweites internes Segment auf dem dritten NIC konfigurieren, dort einen Switch anschließen, und nach dem Umzug der Geräte bist Du schon fertig.

(VLANs sind genauso, nur ohne zusätzliche RJ45 Buchse am Router und ohne Netzstecker am zweiten Switch ;-)

Wer erklärte doch gleich die Telegrafie so: "Stell Dir eine ganz lange Katze vor, der Du in New York auf den Schwanz trittst und in San Francisco schreit sie. Telegrafie ist genau das gleiche, nur ohne die Katze." Das war Edison, oder?

JeGr · Nov 26, 2016, 7:25 PM

@Chris: Ich glaube das war Einstein, nicht Edison, aber DANKE herzlich für den Lacher von dem Spruch, den hatte ich nötig :D

@kugman: Du kannst dir VLANs an der Stelle wie ein echtes zweites LAN vorstellen, das aber nur übers gleiche Kabel läuft, aber Geräte im einen Subnetz können nicht ohne weiteres mit dem anderen Subnetz kommunizieren. Das wird dann als zweites Netz auf der pfSense aufgelegt und dann routest du zwischen den beiden und erstellst Regeln, wer mit wem reden darf :)

kugman · Dec 1, 2016, 9:19 AM

Hallo Jahonix,

das funktioniert leider nicht - ich habe zwar drei interfaces, aber ich bin topologisch auf "ein Kabel" angewiesen. Deshalb denke ich, dass ich auf VLANs umstellen muss. gibt es hierzu ein Tutorial?

jahonix · Dec 1, 2016, 1:02 PM

Das wäre sicherlich eine Resource, die ich mir anschauen würde:
https://doc.pfsense.org/index.php/VLAN_Trunking

Ansonsten hier im Forum oder auch auswärts suchen, Fragen stellen.

Generelle VLAN Regel: Verwende NICHT VLAN ID1 in Deinem Setup, denn ID1 ist default in allen gemanagten Komponenten und kann dort oftmals nicht oder nur äußerst schwierig geändert/gelöscht werden. Also vergebe selbst nur VLAN IDs 2-4096.
Gängig sind VLAN Schemata wie 10, 20, 30, … oder 100, 200, 300, ... je nach Expansionsplänen.

kugman · Dec 1, 2016, 1:38 PM

ok danke - hab ich ja erstmal bissl Lesestoff

jetzt isses bissl blöd gelaufen, ich hab hier parallel zwei Themen angefragt, und bin irgendwie bei beiden nun auf das selbe Folgethema gekommen. Darf ich so unverschämt sein, und auf meinen anderen Thread verweisen? das wär nämlich der hier: https://forum.pfsense.org/index.php?topic=121654.0