Frage zu VPN und Routing (2 Subnetze)

gtrdriver

Hallo zusammen

Ich habe eine Frage grundsätzlicher Art - dazu möchte ich gerne darlegen was ich brauche - evtl kann mir jemand sagen ob und wie ich das mit PFSENSE umsetzten kann

Standardmäßig habe ich ja am internen LAN ein Subnet (z.b: 192.168.1.x) - richte ich hier nun einen VPN (openvpn) server ein und auf der anderen Seite ein weiteres PFSENSE als client kann ich von dort auf dieses .1.x subnet zugreifen.

So kenne ich es und so funktioniert es auch in einigen Installationen Problemlos.

nun habe ich einen Sonderfall:

An Standort1 (VPN SERVER) soll es 2 Subnetze geben (die im gleichen Physischen LAN laufen)

a: 192.168.1.x
b: 192.168.2.x

An Standort2: (VPN Client)  gibt es nur 1 Subnet: 192.168.3.x

Nun sind 2 Dinge gefordert:

1: An Standort1: sollen alle Rechner in beiden Subnetzen auf alle Rechner zugreifen können - der PFSENSE müsste hier also Routen (wenn ich das richtig verstehe)

2: An Standort2: sollen alle Geräte über das VPN auf beide Subnetzte (a und b) von Standort1 zugreifen können.

Geht das ? - und wenn ja wie ?

CU
GTR

viragomann

Hallo,

das Routen macht die pfSense ohnehin, wenn du virtuelle VPN Schnittstellen im üblichen TUN Modus verwendest.

Was zu routen ist, muss du in den VPN Konfig angeben. Das geschieht bei einer Site-to-Site VPN mit der Option "Remote Network/s".
Hier ist auf A "192.168.3.0/24" und auf B "192.168.1.0/24,192.168.2.0/24" einzutragen.

Voraussetzung ist, dass beide Router in ihren lokalen Netzen das Default Gateway sind.

gtrdriver

Hi

erstmal danke - das erklärt die den VPN Teil - das ist ja recht einfach…

Nun kommen wir zum Standort1:

a: 192.168.1.x
b: 192.168.2.x

Wie erreiche ich denn dass ich einem LAN Adapter 2 IP´s und die beiden Subnetze zuteilen kann ?
Auch dass PFSENSE dann den traffich zwischen den beiden Subnetzen Routet und dass beide Subnetze Internet Zugriff haben

DHCP Server soll nur auf einem SUBNET aktiv sein - auf dem anderen werden fixe IP´s verwendet.

viragomann

Routen und Paket-Filter funktioniert nur zwischen Interfaces ordentlich. 2 Netze auf einem Interface kann man machen, für Upstream-Traffic funktioniert es, aber filtern zwischen den Netzen geht schlecht.

Wenn du keinen Netzwerkport mehr zur Verfügung hast, wäre die richtige Lösung, einen Switch dazwischen zu hängen, der vLAN beherrscht. Auf der pfSense würden für die vLANs dann virtuelle Interfaces eingerichtet. Damit ist Filtern und Routen kein Problem.

Wenn du es doch versuchen möchtest: Firewall > Virtual IPs.
Da kannst du eine zusätzliche IP als "IP Alias" einem Interface hinzufügen, die richtige Netzwerkmaske ist anzugeben, dann kannst diese mit den genannten Einschränkungen als Gateway nutzen.

gtrdriver

Hi

Also wäre der einfachste weg ein zusätzliches interface

Das ist kein Problem …

Routet denn pfsense dann automatisch zwischen den beiden lan interfaces ?

viragomann

Ja, um das Routing brauchst du dich da nicht zu kümmern.
Doch musst du auf einem weiteren Interface selbst Firewall-Regeln hinzufügen, die den gewünschten Traffic erlauben. Am LAN ist ja ab Installation bereits eine Regel gesetzt, die alles erlaubt.