Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Externes OpenVPN mit gleichem Subnetz

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 3 Posters 803 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cwt
      last edited by

      Hallo zusammen.

      Ich habe eine Verständnisfrage:

      "Unser" pfSense im LAN verfügt über 8 Subnetze (10.0.1.0 - 10.0.8.0), jeweils über einen eigenen physikalischen Port (2x4 Port Intel Quad) angebunden. Internet läuft via PPPoE an einem VDSL.

      Einer unserer Techniker möchte gerne in einer VM eine OpenVPN-Verbindung zum Kunden aufbauen. Das ist prinzipiell auch kein Problem. Nur liegt dessen Subnetz im gleichen Bereich wie eines unserer Subnetze (10.0.8.0).

      Nun die konkrete Frage: gibt es eine Möglichkeit, soz. das interne Routing der pfSense zu unterbinden, um nach erfolgtem Verbindungsaufbau des OpenVPN innerhalb der VM auf das Netz des Kunden zu gelangen? Eventuell über ein abgeschottetes neues Subnetz an einem virtuellen Adapter?

      Danke im Voraus an alle für etwaige Tipps!

      LG

      :D

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo!

        @cwt:

        Nun die konkrete Frage: gibt es eine Möglichkeit, soz. das interne Routing der pfSense zu unterbinden

        Das Interface deaktivieren. Aber vermutlich wird das benötigt, um die VPN aufzubauen.  ;)
        Also eine andere Herangehensweise…

        Ist eigentlich gar kein pfSense Thema, das Problem liegt ja in der VM.

        @cwt:

        "Unser" pfSense im LAN verfügt über 8 Subnetze (10.0.1.0 - 10.0.8.0)

        Damit meinst du 8 /24er Subnetze?

        Wenn ja, ist die VM selbst in dem Subnetz 10.0.8.0/24 oder erreicht sie dieses über das Default Gateway?

        Je nach Betriebssystem könnte das über die Metric der Routen hinzubekommen sein. Man könnte die Metric des lokalen 10.0.8.0 soweit erhöhen, dass sie über der der VPN-Route liegt. Auch die VPN-Metric lässt sich herabsetzen, allerdings reicht das alleine meist nicht aus. Ein Blick in die Routing-Tabelle verrät da mehr.
        Klar ist bei dieser Umgehung aber, dass dann das lokale 10.0.8.0 nicht erreichbar ist.

        Grüße

        1 Reply Last reply Reply Quote 0
        • jahonixJ
          jahonix
          last edited by

          Eigentlich sagt man dem lokalen Host, also dem, der sich mit der public-IP des Kunden verbinden soll, dass er bei geöffnetem Tunnel allen Traffic über das OpenVPN Interface schicken soll. Das ist eine Option in den OpenVPN Einstellungen.
          Das funktioniert, solange er sich nicht in dem Subnetz befindet, das den Konflikt auslösen würde. Der Host weiß ja von den anderen lokalen Netzen nix. Das Gateway fragt er nur an, wenn er aus seinem Subnetz heraus irgendwo anders hin will. Da alle diese Pakete aber in den Tunnel laufen…

          Ich nutze das in meinen Einstellungen so, wenn ich mich in die Firma tunnele. Anders gerum habe ich es nie probiert, es sollte jedoch genauso funktionieren.

          1 Reply Last reply Reply Quote 0
          • C
            cwt
            last edited by

            Erstmal besten Dank für Eure Antworten.

            Die Aktivierung der Option "redirect gateway" hat zum gewünschten Ergebnis geführt.

            Manchmal sieht man den Wald vor lauter Bäumen nicht… 🙂

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.