Pfsense en openvpn...

[jowi]

Ik hoop dat hier wat mensen zitten met pfsense kennis... ik heb wat vraagjes.

Ik heb pfsense op een aparte (virtual) machine geïnstalleerd op mijn UNRAID nas met een dedicated supermicro/intel 350 quad nic card. WAN zit op igb0, LAN op igb1, en ik heb een Netgear WNRD3700 voorzien van DD-WRT, als acces point aangesloten op igb2 (OPT1, WIFI). Zie plaatje, overige bedraadde apparatuur hangt aan de switch. In pfsense heb ik een bridge geconfigureerd tussen LAN en WIFI, zodat beide subnetten elkaar kunnen zien. Zonder die bridge kan ik bijvoorbeeld niet via mijn iPad (WIFI subnet 192.168.2.x) mijn versterker etc. bedienen die op bedraad LAN subnet 192.168.1.x zit. Uiteraard standaard rules toegevoegd zodat LAN en WIFI internet op kunnen, alles werkt goed.

Nu wil ik een openvpn (goosevpn) toevoegen. Die kan ik succesvol installeren (certificaat, openvpn client toevoegen met de juiste settings) en die draait vervolgens ook ('up'). Vanaf het moment dat de vpnclient up is, maken zowel LAN en WIFI gebruik van de openvpn client, alles loopt vanaf dat moment over de vpn... op zich goed zou je denken, maar dit is niet hoe ik het wil... en ook niet hoe het volgens online tutorials etc. zou moeten werken...

Volgens de tutorials zou je na het succesvol configureren van de openvpn client, een extra interface moeten toevoegen voor de openvpn client, en vervolgens in je overige interfaces, dus bij mij in LAN en WIFI, deze VPN interface als gateway in moeten stellen onder 'advanced'. Ook moeten er dan nog rules aangepast worden bij NAT outbound, en bij de LAN en WIFI (OPT1) interfaces. Als ik dat echter op die manier configureer, werkt alleen LAN via de vpn, en WIFI doet helemaal niets meer... geen internet, geen lokaal verkeer, niets... ik heb geen idee wat ik verkeerd doe...

Dat is mijn 1e vraag, wat is de exacte manier om openvpn client te installeren in pfsense?

Uiteindelijk wil ik meerdere openvpn clients installeren, bijv. 1 binnenlandse/Europese voor privacy + snelheid, en bijv. een Amerlkaanse voor o.a. Netflix. D.m.v. diverse rules zou ik dan bijvoorbeeld alles qua LAN en WIFI over de EUR/NL vpn willen laten lopen, en de Apple TV met Netflix, over de USA vpn. Maar daarvoor moet ik dus wel weten hoe de 1e vraag werkt denk ik

Ik hoop dat het een beetje duidelijk is wat ik heb gedaan?

 

[jowi]

Het is wel héél stil hier

Ben op zich wel onder de indruk van pfsense als concept; het is wel zeer professionele (enterprise) software, wil je er alles uit kunnen halen wat er in zit moet je wel flink wat kennis in huis hebben, maar op zich voor de hobbyist is het ook zeker goed te doen, zeker als je bedenkt dat het al snel vele malen sneller, veiliger en degelijker is dan welke kant- en klaar router je ook koopt... en je hebt er niet eens zulke speciale hardware voor nodig.

Voor mensen die nieuwsgierig zijn, hier een aardige intro over pfsense:

 

[Franz]

Het is wel héél stil hier

Tja, zijn ook niet alledaagse vragen he?

 

[jowi]

Haha nee inderdaad en ik vind het ook best moeilijk om goede info online te vinden. Het wordt al gauw heel complex en gaat dan veel verder dan wat ik wil... Wat wel mooi is aan pfsense is dat je een setup netjes kunt backuppen, lekker kan experimenteren, en als het niet lukt, zet je de werkende setting weer terug.

 

[Franz]

Ik kan je zowiezo niet verder helpen, maar, succes

 

[terrestrial]

ik snap jou setup niet helemaal. Als toch een bridge instelt tussen LAN en OPT1 wat heeft het dan voor zin om een apart netwerk te maken? OPT1 moet je juist gebruiken voor een onveilig netwerk bijvoorbeeld voor apparaten die je gescheiden wilt houden van je LAN maar toch met internet moeten praten. Wifi kun je net zo goed in je normale LAN stoppen of je moet een gast wifi willen maar daar heeft een gemiddelde router vaak aparte functie voor.

De rest kun je grotendeels instellen met regels. Daarvoor kun je beter wat YouTube filmpjes kijken denk ik.

 

[jowi]

Ik had dit zo begrepen uit een filmpje, daar hadden ze ook de bedrade zooi op LAN gezet, en een overgebleven router als wifi access point op OPT1 gezet... maar als ik jou goed begrijp, kan ik die router/ap beter met LAN verbinden via de switch? Klinkt logisch! Dat scheelt inderdaad een hoop gedoe... ik ga het proberen!

 

[itpp2011]

Een gateway heeft ook te maken met een subnet en daaraan een route, met meerdere gateways en expliciete subnetten moet je expliciete routes toevoegen anders weet de client niet waar wat heen moet.
Wat jij zo doet, doe ik met sslvpn en edgerouters (Ubiquiti).

 

[terrestrial]

Dat filmpje gaat er waarschijnlijk vanuit dat de WIFI vanuit pfsense zelf geregeld wordt en dan is de opt de draadloze interface.

 

[jowi]

Nee, hier werdt echt een aparte router als ap geconfigureerd en aan een aparte nic gehangen. Maar waarschijnlijk wel met in het achterhoofd om dat subnet gescheiden te houden inderdaad... dit geeft wel meer inizcht voor mij hoe pfsense werkt trouwens, mooie eye opener.