Pfsense nur als VPN nutzen


  • Hallo zusammen,
    ich möchte eine Pfsense auf einem Alix Board, mit 3 x LAN, nur als VPN Gateway nutzen und diese in ein bestehendes Netzwerk integrieren, wo schon der DHCP über einen Alcatel Router läuft.

    Der Roadwarrior nutzt ein Windows Notebook und würde sich dann per OpenVPN Client einwählen und anschließend per RDP auf den Server gehen.

    Ist diese Vorgehensweise so okay, oder lieber anders ?
    Die Pfsense würde ich mit dem WAN und LAN Port ins Lokale Netzt hängen und den WAN Port auf DHCP stellen, damit er eine IP von dem DHCP Server bekommt.
    Der LAN Port bekommt eine feste, frei, IP aus dem vorhanden Netz die nicht im Bereich vom DHCP liegt.

    In dem Alcatel Router lege ich ein Portfreigabe auf die Pfsense und auf dieser mache ich die Firewall komplett auf.

    Das sollte doch so der richte Weg sein, oder ?

    Thanks!

  • LAYER 8 Rebel Alliance

    Ja und nein, du wirst Probleme mit asynchronem Routing bekommen, musst dich mit statischen Routen rumärgern usw.
    Der saubere Weg wäre das komplette Netz hinter die pfSense, also ins LAN zu hängen. Am pfSense WAN hängt dann nur der vorhandene Alcatel Router.
    So wie es viele eben auch mit z.B. der Fritzbox machen, die pfSense kann dann ggf. noch als Exposed Host eingetragen werden.

    -Rico


  • Hallo!

    @achim55 said in Pfsense nur als VPN nutzen:

    wo schon der DHCP über einen Alcatel Router läuft.

    Der VPN Server sollte auf dem Router laufen, ansonsten wird es kompliziert.

    Grundsätzlich möglich ist es aber.

    @achim55 said in Pfsense nur als VPN nutzen:

    Die Pfsense würde ich mit dem WAN und LAN Port ins Lokale Netzt hängen

    Aber nicht so! Niemals mehrere Interfaces in ein Netz hängen, abgesehen von LAGG oder Bridge. Wofür auch? Reicht doch, wenn ein das LAN im Netz hängt.

    Abgesehen vom Vorschlag von @Rico fallen mir noch weitere Lösungen ein:

    die komplizierte:
    Hat @Rico schon angedeutet. Die pfSense hängt im LAN, VPN-Port ist dahin geroutet. Du setzt auf jedem Gerät, das du via VPN erreichen möchtest eine Route für das Access-Server Tunnelnetz. Die Route könntest du auch per DHCP verteilen, allerdings denke ich nicht, dass der Alcatel dazu fähig ist.

    die perfekte:
    Voraussetzung ist, der Router kann mehrere interne Netze routen. So kannst du zwischen Router und pfSense ein Transitnetz einrichten, routest die VPN zur pfSense und setzt nur auf dem Router eine statische Route für das Tunnelsubnetz des VPN-Servers zur pfSense.

    die schmutzige und auch einfache:
    Die pfSense hängt im LAN, VPN-Port ist dahin geroutet. Du konfigurierst das Outbound NAT so, dass die Quell-IP in Paketen die von der VPN kommen und ins LAN gehen auf die pfSense LAN-IP umgesetzt wird.
    Damit kommen die Response-Paket ganz von selbst wieder zur pfSense zurück.
    Nachteil: Für die Zielgeräte im LAN sieht es aus, als würden alle Pakete von der pfSense kommen, einem LAN-Gerät, dem sie vertrauen. Daher würde ich das nur umsetzen, wenn ich jedem VPN-Client absolut vertraue. Üblicherweise trifft das nur auf mich selbst zu. ☺ Also wenn die VPN nur für mich ist.

    Grüße