Zwei NordVPN Zugänge nur für spezifische VLANs einrichten

[Traviso]

Hallo,

ich habe gerade einen VPN Client in OPNSense für NordVPN, gemäß NordVPN Webseite, eingerichtet. Dabei wird aber der gesamte Datenverkehr über diesen VPN Client geleitet, so ich das richtig verstehe.
Ich möchte es aber so konfigurieren, dass nur Clients aus einem bestimmten VLAN über NordVPN auf das Internet zugreifen.
Weiterhin möchte ich noch einen zweiten VPN Client für NordVPN anlegen, der den Zugriff aus einem anderen Land (konkret USA, da ich dort auf verschiedene Geschäftswebseiten nur per US IP zugreifen kann) simuliert. Auch hier soll nur ein bestimmtes VLAN über diesen zweiten NordVPN Zugang auf das Internet zugreifen.

Die restlichen VLANs sollen ohne VPN auf das Internet zugreifen können.

Wie könnte man dies denn bewerkstelligen ? Hat da vielleicht jemand einen Tipp für mich ?

[tiermutter]

Das Thema gab es die letzten Monate schon das ein oder andere Mal...
Kurz:
Alias erstellen der die jeweiligen MAC oder IP der Geräte beinhaltet.
Firewall Regel erstellen mit source = der alias und ganz unten das jeweilige VPN Gateway angeben.

[Traviso]

Danke Dir für die Rückmeldung. Das mit den Aliasen hatte ich gelesen, war mir aber nicht sicher, ob das "ausreicht".

Beim Anlegen des OpenVPN Clients wird ja in der Anleitung für Interfaces "any" eingestellt. Von daher war ich mir nicht sicher, ob damit nicht jeglicher Verkehr über den OpenVPN Client läuft ?

Das bringt mich auch noch zu einer weiteren Frage. Bei der Konfiguration für NordVPN werden die NordVPN DNS Server under System -> Einstellungen -> Allgemein eingetragen. Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?

[Bob.Dig]

Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?

Kann man nicht. Nutze auf allen Hosts, die über das VPN rausgehen sollen, einen öffentlichen DNS Service, z.B. den von Nord, und nicht die Sense.

[tiermutter]

Beim Anlegen des OpenVPN Clients wird ja in der Anleitung für Interfaces "any" eingestellt. Von daher war ich mir nicht sicher, ob damit nicht jeglicher Verkehr über den OpenVPN Client läuft ?

Ja, durch das any wird alles darüber geleitet, daher entfällt diese Regel (bzw wird nicht so angepasst wie es in der Anleitung von nord vpn steht).
Dafür wird vor der unangepassten default allow Regel eben die neue Regel erstellt, die die Geräte im Alias an das VPN Gateway routet.
Außerdem, falls IPv6 akitiv ist, musst Du v6 für diese Geräte blocken, da der Tunnel kein v6 kann und die Geräte sonst mit v6 daran vorbeisprechen.
Bei mir sieht das so aus, die default allow hat bei mir ein Gateway wegen Multi WAN, nicht daran stören:

ei der Konfiguration für NordVPN werden die NordVPN DNS Server under System -> Einstellungen -> Allgemein eingetragen. Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?

Das habe ich zB auch nicht so gemacht, bei mir verwenden alle Geräte mein AGH als Resolver... Willst Du denn zwingend, dass die Geräte die durch das VPN gehen auch diese DNS Server verwendet?
Die DNS Server müssen da dann raus oder wenigstens für alle Netze mit dem entsprechenden Gateway angegeben werden.

[Traviso]

Kann man nicht. Nutze auf allen Hosts, die über das VPN rausgehen sollen, einen öffentlichen DNS Service, z.B. den von Nord, und nicht die Sense.

Vielen Dank für den Hinweis.

Ja, durch das any wird alles darüber geleitet, daher entfällt diese Regel (bzw wird nicht so angepasst wie es in der Anleitung von nord vpn steht).

Hier könnte ich aber auch das entsprechende VLAN-Interface anstelle von "any" angeben. Dann wäre es an das entsprechende VLAN gebunden, oder ?

Dafür wird vor der unangepassten default allow Regel eben die neue Regel erstellt, die die Geräte im Alias an das VPN Gateway routet.
Außerdem, falls IPv6 akitiv ist, musst Du v6 für diese Geräte blocken, da der Tunnel kein v6 kann und die Geräte sonst mit v6 daran vorbeisprechen.

Bei mir sieht das so aus, die default allow hat bei mir ein Gateway wegen Multi WAN, nicht daran stören:

Könnte man hier auch IPv6 für das entsprechende VLAN selektiv blocken ?

Das habe ich zB auch nicht so gemacht, bei mir verwenden alle Geräte mein AGH als Resolver... Willst Du denn zwingend, dass die Geräte die durch das VPN gehen auch diese DNS Server verwendet?
Die DNS Server müssen da dann raus oder wenigstens für alle Netze mit dem entsprechenden Gateway angegeben werden.

Ja, alle Geräte, welche durch das VPN auf das Internet zugreifen, sollen die NordVPN DNS Server verwenden. Alle anderen Geräte sollen z.B. über die Google DNS Server oder ähnliches laufen.

[tiermutter]

Wenn es auf ein ganzen VLAN zutreffen soll, dann reicht es, wenn die default allow Regel auf dem VLAN so angepasst wird, dass das VPN Gateway verwendet wird, also so wie in der Anleitung.

Die v6 Blockregel bei Bedarf dann halt auch auf das VLAN Interface.

Wie das dann genau läuft, dass hier dann die DNS von NVPN verwendet werden, weiß ich nicht genau.
Entweder ist es damit getan, dass in den allgemeinen Einstellungen das VPN Gateway für die Server hinterlegt ist oder man muss den DNS per DHCP im VLAN verteilen.

[Bob.Dig]

oder man muss den DNS per DHCP im VLAN verteilen.

So würde ich das machen.

[Bob.Dig]

Könnte man hier auch IPv6 für das entsprechende VLAN selektiv blocken ?

Wie wär's, Du gibt dem entsprechenden VLAN von Anfang an kein IPv6?

[tiermutter]

Noch einfacher

[Traviso]

Wenn es auf ein ganzen VLAN zutreffen soll, dann reicht es, wenn die default allow Regel auf dem VLAN so angepasst wird, dass das VPN Gateway verwendet wird, also so wie in der Anleitung.

Ok, dann werde ich es so einmal versuchen.

So würde ich das machen.

Dann werde ich das auch so versuchen.

Wie wär's, Du gibt dem entsprechenden VLAN von Anfang an kein IPv6?

Perfekt, so werde ich es konfigurieren.

Mal sehen, was am Ende dabei herum kommt ;-)

[Traviso]

@tiermutter: Wie hast Du das eigentlich mit Adguard Home und VLANs gelöst ?

Ich habe jetzt Adguard Home installiert und Unbound deaktiviert (AGH läuft entsprechend über Port 53). Mit diesen Einstellungen kann sich der VPN Client im VLAN22 nicht mehr bei NordVPN anmelden (keine DNS-Auflösung für die VPN-Server-Adresse von NordVPN).
Deaktiviere ich Adguard und aktiviere Unbound, dann funktioniert es.

[tiermutter]

Nur damit es keine Missverständnisse gibt:
Du sprichst von einem beliebigen Gerät im Netzwerk (hier im VLAN) dass über NVPN geroutet werden soll, oder? Das wäre dann nämlich kein VPN Client, allerdings frage ich mich dann, was für eine NVPN Server Adresse er auflösen soll... Oder verstehe ich etwas falsch?

[Traviso]

Der VPN-Client baut doch die Verbindung zu NordVPN auf. Dabei gibt man in den Einstellungen des VPN-Clients die Adresse des NordVPN Servers (z.B. de840.nordvpn.com) an. Meine Vermutung hierbei ist, dass diese Adresse beim Verbindungsaufbau nicht aufgelöst wird.

Sobald die Verbindung steht, soll jedes in diesem VLAN verbundene Gerät über das VPN geroutet werden. Dann müssen die DNS-Anfragen über die NordVPN DNS-Server erfolgen

[tiermutter]

  als VPN Client sollte eigentlich die Sense sein. Hier hast du das doch auch alles eingerichtet, oder nicht? Auf den anderen Geräten im VLAN brauchst du dann gar nichts einrichten und dich zu keinem VPN verbinden, das routet dann doch alles die Sense. Das ist doch der Clou dabei...