Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Frage zu VPN und Routing (2 Subnetze)

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 2 Posters 860 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gtrdriver
      last edited by

      Hallo zusammen

      Ich habe eine Frage grundsätzlicher Art - dazu möchte ich gerne darlegen was ich brauche - evtl kann mir jemand sagen ob und wie ich das mit PFSENSE umsetzten kann

      Standardmäßig habe ich ja am internen LAN ein Subnet (z.b: 192.168.1.x) - richte ich hier nun einen VPN (openvpn) server ein und auf der anderen Seite ein weiteres PFSENSE als client kann ich von dort auf dieses .1.x subnet zugreifen.

      So kenne ich es und so funktioniert es auch in einigen Installationen Problemlos.

      nun habe ich einen Sonderfall:

      An Standort1 (VPN SERVER) soll es 2 Subnetze geben (die im gleichen Physischen LAN laufen)

      a: 192.168.1.x
      b: 192.168.2.x

      An Standort2: (VPN Client)  gibt es nur 1 Subnet: 192.168.3.x

      Nun sind 2 Dinge gefordert:

      1: An Standort1: sollen alle Rechner in beiden Subnetzen auf alle Rechner zugreifen können - der PFSENSE müsste hier also Routen (wenn ich das richtig verstehe)

      2: An Standort2: sollen alle Geräte über das VPN auf beide Subnetzte (a und b) von Standort1 zugreifen können.

      Geht das ? - und wenn ja wie ?

      CU
      GTR

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        das Routen macht die pfSense ohnehin, wenn du virtuelle VPN Schnittstellen im üblichen TUN Modus verwendest.

        Was zu routen ist, muss du in den VPN Konfig angeben. Das geschieht bei einer Site-to-Site VPN mit der Option "Remote Network/s".
        Hier ist auf A "192.168.3.0/24" und auf B "192.168.1.0/24,192.168.2.0/24" einzutragen.

        Voraussetzung ist, dass beide Router in ihren lokalen Netzen das Default Gateway sind.

        1 Reply Last reply Reply Quote 0
        • G
          gtrdriver
          last edited by

          Hi

          erstmal danke - das erklärt die den VPN Teil - das ist ja recht einfach…

          Nun kommen wir zum Standort1:

          a: 192.168.1.x
          b: 192.168.2.x

          Wie erreiche ich denn dass ich einem LAN Adapter 2 IP´s und die beiden Subnetze zuteilen kann ?
          Auch dass PFSENSE dann den traffich zwischen den beiden Subnetzen Routet und dass beide Subnetze Internet Zugriff haben

          DHCP Server soll nur auf einem SUBNET aktiv sein - auf dem anderen werden fixe IP´s verwendet.

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Routen und Paket-Filter funktioniert nur zwischen Interfaces ordentlich. 2 Netze auf einem Interface kann man machen, für Upstream-Traffic funktioniert es, aber filtern zwischen den Netzen geht schlecht.

            Wenn du keinen Netzwerkport mehr zur Verfügung hast, wäre die richtige Lösung, einen Switch dazwischen zu hängen, der vLAN beherrscht. Auf der pfSense würden für die vLANs dann virtuelle Interfaces eingerichtet. Damit ist Filtern und Routen kein Problem.

            Wenn du es doch versuchen möchtest: Firewall > Virtual IPs.
            Da kannst du eine zusätzliche IP als "IP Alias" einem Interface hinzufügen, die richtige Netzwerkmaske ist anzugeben, dann kannst diese mit den genannten Einschränkungen als Gateway nutzen.

            1 Reply Last reply Reply Quote 0
            • G
              gtrdriver
              last edited by

              Hi

              Also wäre der einfachste weg ein zusätzliches interface

              Das ist kein Problem …

              Routet denn pfsense dann automatisch zwischen den beiden lan interfaces ?

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Ja, um das Routing brauchst du dich da nicht zu kümmern.
                Doch musst du auf einem weiteren Interface selbst Firewall-Regeln hinzufügen, die den gewünschten Traffic erlauben. Am LAN ist ja ab Installation bereits eine Regel gesetzt, die alles erlaubt.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.