[Solved] Internetverbindung eines VLAN über openVPN-Client auf pfSense

cantor

Ich benötige Hilfe im Hinblick auf die Konfiguration eines VLAN in Verbindung mit einer VPN-Verbindung über einen externen VPN-Anbieter.

Was ich erreichen möchte:
Ich habe auf meiner pfSense vier VLANs eingerichtet zur Trennung von Arbeitsumgebung, Gastnetz etc.
VLAN10: 10.0.10.1/24 Arbeitsumgebung einschl. NAS
VLAN20: 10.0.20.1/24 Smartphone und Tablet
VLAN30: 10.0.30.1/24 Gastnetz
VLAN40: 10.0.40.1/24 über das Internet erreichbarer Drucker

VLAN10, VLAN20 und VLAN30 sind auch über meinen UniFi AP mit jeweils separater SSID erreichbar.

Seit kurzem bin ich bei einem externen VPN-Anbieter angemeldet und möchte gerne ein weiteres VLAN einrichten, dessen Datenverkahr nach außen ausschließlich  über eben diesen externen VPN-Anbieter läuft.

Zu diesem Zweck habe ich auf der pfSense einen openVPN Client eingerichtet, der mit dem externen VPN-Anbieter verbunden ist. Der openVPN-Client auf der pfSense hat die virtuelle Adresse 10.8.8.11. Wie muss ich jetzt weiter vorgehen, um ein VLAN50 einzurichten, welches den openVPN Cllient auf der pfSense quasi als Gateway nutzt, so dass sämtlicher Datenverkehr von Geräten, die am VLAN50 hängen, komplett über den externen VPN-Anbieter läuft?

Da ich in Sachen Netzwerk Laie bin, hoffe ich, dass ich mich halbwegs verständlich ausgerückt haben und dass man mir mögliche Ungenauigkeiten in meinen Formulierungen verzeiht. :-)

Ich würde mich über alle Hinweise und Tipps, wie ich das Gewünschte erreichen kann, freuen.

Einstweilen herzlichen Dank im Voraus.
Jürgen

viragomann

:D
Hallo,

ich denke, das war doch ausreichend verständlich formuliert.

Das funktioniert über "Policy based routing". Dabei ist es im Grunde egal, ob du ein ganzes Netz oder eine einzelne IP über die VPN schicken möchtest.

Das VLAN kannst du wie üblich auf der pfSense einrichten.

Dem VPN Client musst du ein Interface zuweisen: Interfaces > Assign.
Hier unter "Available network ports" die OpenVPN Client Instanz auswählen, bspw. ovpnc1, und auf Add klicken. Dann das neue Interface öffnen, Enable anhaken und einen hübschen Namen eintragen.

In Firewall > NAT Outbound benötigst du eine Regel für die ausgehende Verbindung über die VPN, falls keine automatisch erstellt wurde. Dazu den Modus auch Hybrid stellen und diese Einstellung speichern.
Dann eine Regel hinzufügen:
Interface: welches zu vorhin erstellt hast
Source: VLAN50 net
Dest.: any
Dest.Port: any
Translation: Interface address

Das Policy routing geschieht in der Firewall-Regel die den Traffic am VLAN50 Interface erlaubt.
Also am VLAN50 eine Regel erstellen, die erlaubt, was du erlauben möchtest. Die Advanced Options öffnen und bei Gateway das GW des VPN Interfaces auswählen, das du zuvor erstellt hast.

Diese Regel erlaubt nur Verbindungen über das VPN Gateway! D.h. falls du auch bspw. DNS von der pfSense nutzen möchtest, benötigst du dafür eine eigene Regel.

Grüße

cantor

@viragomann:

Das funktioniert über "Policy based routing".  […]

Herzlichen Dank. Auf den ersten Blick scheint meine KKonfiguration wie gewünscht zu funktionieren. Am Wochenende werde ich aber noch ein wenig mehr testen.

Gruß
Jürgen