Verständnisprobleme bei Regelerstellung von OPT -> VPN-Gateway
-
Hallo,
ich habe hier eine pfsense mit 4 Interfaces in einer VMWARE am laufen.
WAN (Dynamische IP) => le0 => PPPoE
LAN (10.1.100.1) => le1 => LAN mit Servern, Desktops, …
SYNC (10.1.104.2)=> le2 => Zum synchronisieren zu einer zweiten, momentan abgeschalteten pfsense (für dieses Problem unwichtig)
WLAN (192.168.1.254) => le3 => WLAN AccesspointAußerdem läuft noch ein PPTP-Gateway mit der Regel: Proto *; Source *; Port *; Destination *; Port *; Gateway *;
Da ich gerade kein Budget habe (das ganze ist mein Testnetz in der Firma) und mit der vorhandenen Hardware gerne etwas experimentieren möchte ist die Anschaffung anderer Hardware keine Option.
Bisher habe ich auch kaum mehr mit der pfsense gemacht, als die Möglichkeiten die per default nach der Installation zur Verfügung stehen. Zusätzlich noch die CARP-Verbindung (mit der Anleitung von pfsense.org als Leitfaden) und den PPTP Gateway in Eigenregie gestartet.
Was möcht ich machen?
Mein Accesspoint ist uralt und kann eigentlich nix außer funken - und das nur mit WEP. Ich würde gerne die WLAN-Verschlüsselung aus diesem Grund ganz deaktivieren und auf dem WLAN-Interface von der pfsense einen DHCP-Server mit VPN-Funktionalität anbieten. Für den Anfang reicht mir erstmal PPTP, da ich mit OpenVPN und IPSec noch keine Erfahrungen gesammelt habe.
Ich habe auf dem WLAN-Interface einen DHCP-Server aktiviert und als Gateway sowie DNS-Server die 192.168.1.254 eingetragen. Wenn ich mit einem PC auf den Accesspoint verbinde erhält dieser vom DHCP-Server eine IP. Ins WAN oder ins LAN komme ich damit aber nicht. Wenn ich die 192.168.1.254 auf einem VPN-Client als Serveradresse eintrage funktioniert diese Verbindung ebenfalls nicht.
Welche Regel oder Weiterleitung muss ich nun erstellen, um ausschließlich den PPTP-Gateway auf dem WLAN-Interface anzubieten und ausschließlich PPTP-Traffic durchzulassen?
Wie ist es mir weiterhin möglich dem VPN-Benutzer Norbert nur Zugriff aufs WAN zu gewähren, dem VPN-Benutzer Horst aber Zugriff aufs WAN und aufs LAN oder weitere Netze zu gewähren?
Später soll vielleicht für Besucher ein Captive Portal ein Captive Portal bereit stehen.
Danke für eure Hilfe.
mafi