Messages

Das würde die Problematik mit dem "extra VPN LAN" nicht lösen.
Unabhängig von meiner VPN Geschichte, hatte ich das mal gemacht. Leider waren einige VoIP Geräte anschliessend sporadisch nicht erreichbar..

Kennst Du eine Möglichkeit einer "Einwahl" VPN Verbindung eine feste IP, die auch einen reboot von Opnsense übersteht, zu geben?

Also ich hab das mal auf das wesentlichste runtergekürzt und den Kram mit den 2 Leitungen erstmal aussen vor gelassen..

Im Bsp. sollen nur W10 und der FS über das VPN zu erreichen sein, zeitgleich müssen beide natürlich auch über das Bürolan erreichbar bleiben.

Die "als Code einfügen" Funktion will nicht so richtig mitspielen, daher die Übersicht als Anlage..

Guten Morgen,

vielen Dank für die Erläuterungen.
Das ist eine ungewöhnliche Konstellation, da hast Du recht.

Zusammengefasst:
Ich möchte eine VPN mit Zugang zu einem virtuellen Netz (10.10.5.x), ohne dass dieses Zugriff auf das (physische) Büro Netz hat. Daher müssen einige Geräte in beiden Netzwerken erreichbar sein.

Zu 1.
Da der TK Anschluss mittelfristig stillgelegt werden soll, wollte ich es mir leicht machen und irgendwann den Vodafonerouter die IP 10.0.5.1 verpassen, somit wären keine weiteren Einstellungen im LAN nötig.
Zu 2 und 3;

Wir haben einen s.g. PBX Anschluss bei der Telekom (Telefonie).
Über den dazugehörigen DSL Anschluss werden die VoIP Verbindungen zum TK Server aufgebaut, leider hat dieser nur 16mbit Down- / 2,5mbit Upstream.
Weil jetzt alle im Homeoffice arbeiten wollen, habe ich eine 2. Leitung bei Vodafone gebucht.
Nun kommt das 1. ABER:
Damit die VoIP Telefonie über die TK-Server, mit einem anderen ISP, funktioniert, müssen alle VoIP Telefone für die s.g. nomadische Nutzung freigegeben werden, dass das nahtlos klappt, wollten mir die Telekomiker nicht verbindlich zusagen.
Daher soll, fürs erste, die Vodafone Leitung nur für das VPN verwendet werden, alles(!) Sonstige weiterhin über die TK Leitung.

Derzeit gibt es eine Ubuntu Installation (virtualisiert, alles Folgende ebenso) auf welcher ein OpenVPN Server läuft.
Bei der Einrichtung hatte ich die inter-client Kommunikation freigegeben und alle gewünschten Ressourcen (Fileserver, 2 W10 PCs) im VPN angemeldet, anschließend die IP des FS an die Clients verteilt, Verknüpfungen auf den Desktop abgelegt und fertig.
Das Problem hierbei:
wird z.B. der VPN-Server auf Opnsense neugestartet, bekommt z.B. der FS unter Umständen eine andere VPN-IP und der Zugriff ist nicht mehr möglich.


Daher mein Gedanke;
1. Router (nennen wir den mal GW1) ist weiterhin für Telefonie und, übergangsweise, dass "alte" VPN zuständig (Portforwarding auf Ubuntu).
2. Router GW2 bekommt ein Portforwarding auf die Opnsense Installation, hier ist ebenfalls ein VPN Server eingerichtet.

Um das Problem mit der wechselnden IP zu umgehen aber nicht gleich das ganze Büro-LAN erreichbar zu machen, habe ich zwei Switches erstellt.
SW1 ist ein "privater", d.h. nur die VMs können untereinander kommunizieren, kein Zugriff auf das "echte" (physische LAN).
SW2 ist ein "externer" und kann sowohl mit VMs als auch dem "echten" LAN kommunizieren.

In Opnsense sind LAN Interface mit SW1 und WAN Interface mit SW2 verbunden.
SW1 verbindet Opnsense mit einer Test-VM NIC1 (10.10.5.109), NIC2 der Test-VM (10.0.5.109) ist mit SW2 verbunden und stellt die Verbindung zum "echten" LAN zur Verfügung.

Es ist möglich, zumindest Windows, händisch eine route zu setzen aber hier habe ich wohl ein Verständnisproblem :(

So stellte ich mir das vor:
Test-VM
route ADD 10.10.50.0 MASK 255.255 255.0 10.10.5.109
funktioniert aber nicht.
Ich denke das eine manuell gesetzte Route die Lösung wäre;
"wenn traffic an das Netz 10.10.50.0 geschickt werden soll, nehme die NIC mit der IP 10.10.5.109"

Sollte das gar nicht zu realisieren sein, würde ich wieder alle Geräte als Clients einbinden aber wie vermeide ich den IP Wechsel?

Hallo,

heute schreibt Jank, ein 31jähriger Hobby ITler. Opnsense habe ich seit 2016 als VPN Server am laufen.

Ich habe schwierigkeiten bei der Einrichtung eines RoadWarrior VPN (OpenVPN Server)

Konfiguration;
1. Telekom Anschluss, dynamische WAN IP, LAN-IP 10.0.5.1.
2. Vodafone Leitung, statische / öffentliche WAN IP (v4), DHCP deaktiviert, LAN-IP 10.0.5.2
3. Opnsense (OPNsense 20.1.6-amd64 mit allen aktuellen Updates) in Hyper-V, WAN IP 10.0.5.4 (zum Telekomrouter), LAN IP 10.10.5.4, LAN "hinter" Opnsense 10.10.5.0
4. Client PC: Win10, LTSC 2019, Firewall für alle Netzwerktypen deaktiviert, 2 NICs mit jeweils fester LAN-IP Adresse (NIC 1 -> "hinter" Opnsense, 10.10.5.109, NIC 2 -> 10.0.5.150).
Da Windows den Netzwerktyp anhand des Gateways bestimmt, habe ich diesen händisch festgelegt (Powershell).

Das Netz 10.10.5.0 soll über das VPN erreichbar sein, zwecks Test ist ein W10 PC mit der (Opnsense-)LAN-IP 10.10.5.109 mit deaktivierter Firewall eingerichtet.

Die Einwahl verläuft ohne ungewöhnliche Meldungen, anschliessend ist Zugriff auf das Opnsense Webinterface sowohl über 10.10.5.4 als auch 10.0.5.4 erreichbar.

Nun das Problem;
Bekommt NIC 1 auf dem W10 PC eine IP vom (Opnsense)DHCP Server zugewiesen funktioniert alles wie gewünscht, dafür wird der Nic 1 die Opnsense IP (10.10.5.4) als Gateway zugewiesen, was Proleme verursacht (2 Gateways auf einem PC..).
Setze ich auf dem W10 PC die IP, "hinter" Opnsense, auf eine feste IP ohne Gateway ist kein Ping o.ä. mehr möglich, mit Gateway klappt alles.

Mittelfristig wird Opnsense als Gatewas fungieren, in der Übergangzeit aber nur als VPN Server.

Ich vermute das es eine Route fehlt aber tappe etwas im Dunkeln.

Bin für jeden Tipp dankbar!

Viele Grüße und einen sonnigen Tag :)
Jan