4. Frage zu VPN und Routing (2 Subnetze)

Frage zu VPN und Routing (2 Subnetze)

  • G

    Hallo zusammen

    Ich habe eine Frage grundsätzlicher Art - dazu möchte ich gerne darlegen was ich brauche - evtl kann mir jemand sagen ob und wie ich das mit PFSENSE umsetzten kann

    Standardmäßig habe ich ja am internen LAN ein Subnet (z.b: 192.168.1.x) - richte ich hier nun einen VPN (openvpn) server ein und auf der anderen Seite ein weiteres PFSENSE als client kann ich von dort auf dieses .1.x subnet zugreifen.

    So kenne ich es und so funktioniert es auch in einigen Installationen Problemlos.

    nun habe ich einen Sonderfall:

    An Standort1 (VPN SERVER) soll es 2 Subnetze geben (die im gleichen Physischen LAN laufen)

    a: 192.168.1.x
    b: 192.168.2.x

    An Standort2: (VPN Client)  gibt es nur 1 Subnet: 192.168.3.x

    Nun sind 2 Dinge gefordert:

    1: An Standort1: sollen alle Rechner in beiden Subnetzen auf alle Rechner zugreifen können - der PFSENSE müsste hier also Routen (wenn ich das richtig verstehe)

    2: An Standort2: sollen alle Geräte über das VPN auf beide Subnetzte (a und b) von Standort1 zugreifen können.

    Geht das ? - und wenn ja wie ?

    CU
    GTR

    0
  • V

    Hallo,

    das Routen macht die pfSense ohnehin, wenn du virtuelle VPN Schnittstellen im üblichen TUN Modus verwendest.

    Was zu routen ist, muss du in den VPN Konfig angeben. Das geschieht bei einer Site-to-Site VPN mit der Option "Remote Network/s".
    Hier ist auf A "192.168.3.0/24" und auf B "192.168.1.0/24,192.168.2.0/24" einzutragen.

    Voraussetzung ist, dass beide Router in ihren lokalen Netzen das Default Gateway sind.

    0
  • G

    Hi

    erstmal danke - das erklärt die den VPN Teil - das ist ja recht einfach…

    Nun kommen wir zum Standort1:

    a: 192.168.1.x
    b: 192.168.2.x

    Wie erreiche ich denn dass ich einem LAN Adapter 2 IP´s und die beiden Subnetze zuteilen kann ?
    Auch dass PFSENSE dann den traffich zwischen den beiden Subnetzen Routet und dass beide Subnetze Internet Zugriff haben

    DHCP Server soll nur auf einem SUBNET aktiv sein - auf dem anderen werden fixe IP´s verwendet.

    0
  • V

    Routen und Paket-Filter funktioniert nur zwischen Interfaces ordentlich. 2 Netze auf einem Interface kann man machen, für Upstream-Traffic funktioniert es, aber filtern zwischen den Netzen geht schlecht.

    Wenn du keinen Netzwerkport mehr zur Verfügung hast, wäre die richtige Lösung, einen Switch dazwischen zu hängen, der vLAN beherrscht. Auf der pfSense würden für die vLANs dann virtuelle Interfaces eingerichtet. Damit ist Filtern und Routen kein Problem.

    Wenn du es doch versuchen möchtest: Firewall > Virtual IPs.
    Da kannst du eine zusätzliche IP als "IP Alias" einem Interface hinzufügen, die richtige Netzwerkmaske ist anzugeben, dann kannst diese mit den genannten Einschränkungen als Gateway nutzen.

    0
  • G

    Hi

    Also wäre der einfachste weg ein zusätzliches interface

    Das ist kein Problem …

    Routet denn pfsense dann automatisch zwischen den beiden lan interfaces ?

    0
  • V

    Ja, um das Routing brauchst du dich da nicht zu kümmern.
    Doch musst du auf einem weiteren Interface selbst Firewall-Regeln hinzufügen, die den gewünschten Traffic erlauben. Am LAN ist ja ab Installation bereits eine Regel gesetzt, die alles erlaubt.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy