PfSense, Bahnhof, Integrity OpenVPN, med Egen Server???

Trädvy Permalänk
Medlem
Plats
Hallstahammar
Registrerad
Dec 2005

PfSense, Bahnhof, Integrity OpenVPN, med Egen Server???

Har suttit här på min kammare och klurat på om det skulle vara möjligt att köra detta tillsammans.

Jag har gjort en skiss i Paint på hur jag tänkte mig. Tanken vara att kunna separera trafiken i PfSesens boxen så att trafik till servern och IP kamerorna inte går vi OpenVPN så att man kan nå dessa utifrån via den IP adress som Bahnhof tilldelar. Eftersom Integrity OpenVPN servrarna inte sköts av Bahnhof så måste dessa ligga på andra IP adresser än Bahnhof och då borde det vara möjligt att ansluta till Integrity inuti Bahnhofs IP lina men fortfarande ha kvar original IP till server och IP kameror…..

Förklaring till bilden:
Röda linjer motsvarar Bahnhof tilldelad extern IP och NAT:at i routern
Blåa linjer är OpenVPN tilldelad IP sedan NAT:at i routern

Vad tror ni nätverksproffs, är det möjligt?

Core I7 3770K, Gigabyte Z77X-UP 5 TH, CORSAIR 32GB DDR3 VENGEANCE QUAD 1600MHZ, Sapphire Radeon HD 7970 GHz 3GB GDDR5

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

En förutsättning är nog att din switch är intelligent nog att hantera VLAN, för annars får du det väldigt besvärligt!

Hur bra PFSense är på routing vet jag inte, men med en "riktig" brandvägg är det inga problem alls med den där lösningen. Jag kör en liknande historia där min wifi (aerohive, men det hade fungerat lysande med Ubiquiti) har två olika SSID som mappar mot de två olika VLANen. Därmed skickas barnen ut via OpenVPN medan min dator går "rakt ut".

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Du kan ju speca vilka IP-nät som går via VPN. Nu har inte pfsense stöd för sub-interface vad jag kan se så du behöver troligen ett nic till. Krångla inte till det med vlan. Du gör så att ena interfacet delar dhcp och i det andra måste man använda fasta adresser. Det nätet som använder fasta adresser talar du om att inte ska gå över tunneln.

En sak till att prova är att i rutan tunnel network skriva 192.x.x.0/25 eller 192.x.x.128/25. Om pfsense kan hantera det innebär det att den lägre eller högre delen av IP-serien endast går över tunneln. Då behöver du inte två nic. Se till att starta om tunneln efteråt om inte pfsense gör det själv.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av jocke92:

Du kan ju speca vilka IP-nät som går via VPN. Nu har inte pfsense stöd för sub-interface vad jag kan se så du behöver troligen ett nic till. Krångla inte till det med vlan. Du gör så att ena interfacet delar dhcp och i det andra måste man använda fasta adresser. Det nätet som använder fasta adresser talar du om att inte ska gå över tunneln.

En sak till att prova är att i rutan tunnel network skriva 192.x.x.0/25 eller 192.x.x.128/25. Om pfsense kan hantera det innebär det att den lägre eller högre delen av IP-serien endast går över tunneln. Då behöver du inte två nic. Se till att starta om tunneln efteråt om inte pfsense gör det själv.

Jag tycker du har väldigt fel med VLAN. Med en VLAN-kapabel witch klarar han sig med en, medan han i ditt förslag måste ha två separata switchar. Med en VLAN-switch så kan han enkelt bara flytta över en dator till det andra nätet för att testa saker, utan att fysiskt behöva ändra något. Han kan också - till skillnad från utan VLAN - ha två olika trådlösa nät beroende på om man vill surfa säkert eller inte. Jag kan inte för mitt liv begripa varför man inte vill ha VLAN, även om man gör det till två olika fysiska interface.

Nåja, kanske jag är överkurs, men sådana där lösningar där man ska hålla på med fasta IP adresser tycker jag är riktigt krångliga ur användarsynpunkt. Uppsatt rätt med VLAN så slipper man ju allt krångel.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Talisker00:

Jag tycker du har väldigt fel med VLAN. Med en VLAN-kapabel witch klarar han sig med en, medan han i ditt förslag måste ha två separata switchar. Med en VLAN-switch så kan han enkelt bara flytta över en dator till det andra nätet för att testa saker, utan att fysiskt behöva ändra något. Han kan också - till skillnad från utan VLAN - ha två olika trådlösa nät beroende på om man vill surfa säkert eller inte. Jag kan inte för mitt liv begripa varför man inte vill ha VLAN, även om man gör det till två olika fysiska interface.

Nåja, kanske jag är överkurs, men sådana där lösningar där man ska hålla på med fasta IP adresser tycker jag är riktigt krångliga ur användarsynpunkt. Uppsatt rätt med VLAN så slipper man ju allt krångel.

Ja vill man ha dhcp får man allt upprätta vlan och köpa en kapabel switch. Men verkar bara vara servern och ip-kameran som ska undantas för tillfället och de har säkert redan fasta adresser. Vill man ha två wifi-nät ett med och ett utan tunnel krävs ju även en kapabel accesspunkt. Kanske mer än vad TS vill spendera.

Det billigaste hade vart om pfsense fattar mitt andra alternativ, har tyvärr ingen openvpn att testa mot

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av jocke92:

Ja vill man ha dhcp får man allt upprätta vlan och köpa en kapabel switch. Men verkar bara vara servern och ip-kameran som ska undantas för tillfället och de har säkert redan fasta adresser. Vill man ha två wifi-nät ett med och ett utan tunnel krävs ju även en kapabel accesspunkt. Kanske mer än vad TS vill spendera.

Det billigaste hade vart om pfsense fattar mitt andra alternativ, har tyvärr ingen openvpn att testa mot

Mitt problem är att jag inte har någon pfsense. Kör som sagt en väsentligt krånligare version hemma med fler VLAN och två olika VPN (OpenVPN och PPtP), som jag routar ut lite olika saker på. DÅ har jag en bättre brandvägg som kan köra policy-baserad routing baserad på IP adress, destination, port, protokoll, VLAN, fysiskt interface och liknande. Jag misstänkte att PFSense var mer begränsad, men den verkar tyvärr rätt svag på routing:(

Hade jag orkat sätta upp en PFSense så hade jag gärna provat. Jag får se om jag får lite tid över i veckan.

Trädvy Permalänk
Medlem
Plats
Hallstahammar
Registrerad
Dec 2005
Skrivet av Talisker00:

En förutsättning är nog att din switch är intelligent nog att hantera VLAN, för annars får du det väldigt besvärligt!

Hur bra PFSense är på routing vet jag inte, men med en "riktig" brandvägg är det inga problem alls med den där lösningen. Jag kör en liknande historia där min wifi (aerohive, men det hade fungerat lysande med Ubiquiti) har två olika SSID som mappar mot de två olika VLANen. Därmed skickas barnen ut via OpenVPN medan min dator går "rakt ut".

Skrivet av jocke92:

Du kan ju speca vilka IP-nät som går via VPN. Nu har inte pfsense stöd för sub-interface vad jag kan se så du behöver troligen ett nic till. Krångla inte till det med vlan. Du gör så att ena interfacet delar dhcp och i det andra måste man använda fasta adresser. Det nätet som använder fasta adresser talar du om att inte ska gå över tunneln.

En sak till att prova är att i rutan tunnel network skriva 192.x.x.0/25 eller 192.x.x.128/25. Om pfsense kan hantera det innebär det att den lägre eller högre delen av IP-serien endast går över tunneln. Då behöver du inte två nic. Se till att starta om tunneln efteråt om inte pfsense gör det själv.

Ledsen att jag var lite otydlig där, kör med fasta IP till alla datorer, mobiler, surfplattor, o.s.v. detta för att kunna styra så att ingen enhet lastar ned nätet.

Jag hittade denna tutorial https://forum.pfsense.org/index.php?topic=76015.0 som jag följde.

Har testat, med FrootVPN, som är en gratistjänst, och det fungerar. Testade med bredbanskollen och fick 85 Mbit down . Om man stänger VPN tunneln så dör internet till LAN:et medan det fortfarande går att nå server och IP kamerorna utifrån. Det som bekymrar mig lite är att jag får DNS läckage via VPN tunneln Skall testa vidare och se om jag kan stoppa DNS läckaget på något sätt. Tips mottages gärna.

Core I7 3770K, Gigabyte Z77X-UP 5 TH, CORSAIR 32GB DDR3 VENGEANCE QUAD 1600MHZ, Sapphire Radeon HD 7970 GHz 3GB GDDR5