Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
MENÚ
Visión general
Usar una VPN mientras navega por Internet es una excelente manera de proteger su
identidad y evitar que su ISP use sus datos y hábitos personales para sus propios
bene cios. Sin embargo, con gurar clientes VPN en todos sus dispositivos puede ser muy
tedioso e incluso imposible con dispositivos como Chromecast / Firestick. Además, es
posible que parte del trá co no sea necesario para enrutar a través de VPN (juegos y otros
programas críticos de latencia).
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 1/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Una forma de crear un entorno de red VPNed exible es usar VLAN para segmentar el
trá co de red diferente. Las VLAN con guradas correctamente permitirán que el trá co
saliente de diferentes segmentos se enrute a diferentes puntos nales VPN al tiempo que
permite (o no) el enrutamiento interno normal entre segmentos de red.
Hardware
Esta guía se basa en el siguiente equipo:
El rendimiento de Qotom con VPN fue revisado en una publicación anterior: PFSense
Dedicated Micro Router
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 2/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Requisitos
LAN proporcionará una conexión desnuda a Internet a través de la puerta de enlace
del ISP.
Preparar
Crear conexiones de cliente VPN
Crear VLAN
Crear interfaces
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 3/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Haga clic en el botón verde '+' para abrir la página de con guración del cliente.
Siga las instrucciones proporcionadas por su proveedor de VPN para agregar un nodo.
(Opcional) Repita el último paso con tantos nodos como desee si planea usar un grupo
Gateway para alta disponibilidad.
Crear VLAN
Con guración de pfsense
Vaya a Interfaces -> VLAN
Haga clic en el botón verde '+' para abrir la página de con guración de VLAN.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 4/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
VLAN 20 (VPN):
Este segmento de red será para dispositivos generales y usuarios de Wi .
Solo puede acceder a dispositivos VLAN 20 y LAN.
La puerta de enlace de Internet será un grupo de puerta de enlace de alta
disponibilidad de VPN.
Esta con guración utiliza un TP-Link (TL-SG108E) . Se pueden encontrar por $ 30 y son
completamente manejables desde una interfaz web.
Elija un puerto en el conmutador para ser el enlace troncal. Conectará todo el trá co
de VLAN al enrutador.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 5/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Seleccione 'Sin etiquetar' para cada puerto que se conectará a un dispositivo con
trá co en la VLAN seleccionada.
Crear interfaces
Navegue a Interfaces -> Asignaciones de interfaz
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 6/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 7/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 8/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Habilitar la interfaz.
Deje el Tipo de con guración IPv4 establecido en DHCP. La dirección IPv4 será
establecida por el servidor VPN.
Cree nuevas interfaces utilizando los clientes VPN que se con guraron anteriormente
seleccionándolos en el menú desplegable y haciendo clic en el botón verde '+'.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 9/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 10/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Habilitar la interfaz.
Establecer un segmento de dirección IPv4. Este segmento será utilizado por todos los
dispositivos en la VLAN.
Seleccione una pestaña que coincida con una de las interfaces VLAN.
Si lo desea, los servidores DNS únicos se pueden con gurar en la sección del servidor.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 11/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Haga clic en el botón verde '+' para abrir la página de con guración de Gateway
Group.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 12/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
- Dé un nombre al grupo.
Establezca los niveles de las puertas de enlace VPN para usar en el grupo en el Nivel 1
(esto creará un uso de round robin). Si uno está con gurado en el Nivel 1 y otro está
con gurado en el Nivel 2, la puerta de enlace de Nivel 2 solo se utilizará cuando la
Puerta de enlace de Nivel 1 falle.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 13/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Agregue un conjunto de mapeo saliente para cada interfaz VPN creada con la fuente
que es el segmento de red de la VLAN asociada.
Para cada interfaz asignada a un cliente VPN, cree una regla que pase todo el trá co.
Para cada interfaz asignada a una VLAN, se deberán crear grupos de reglas para dirigir el
ujo de trá co.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 14/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Si hay una VLAN u otro segmento de red que no debería ser accesible desde otro,
agregue una regla de bloqueo con el segmento prohibido como destino
Para permitir que el trá co pueda acceder a otros segmentos, se debe crear una regla
de paso para dirigir el trá co a usar la puerta de enlace predeterminada del enrutador
o de lo contrario intentará usar la VPN para la dirección local.
Cree una regla que pase el trá co de la VLAN al grupo de puerta de enlace. (La opción
de modo Puerta se encuentra en Opciones avanzadas)
Para cualquier trá co que coincida con una regla a la que no desea acceder a Internet
a menos que sea a través de una VPN, agregue una NO_WAN_EGRESS etiqueta a la regla.
(La etiqueta se puede encontrar en la con guración avanzada)
Esto etiquetará el paquete que coincide con la regla y se puede ltrar con una regla
otante.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 15/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Para las interfaces, seleccione cualquier interfaz por la que no desee que se pase el
trá co etiquetado (útil si se trata de una con guración de WAN múltiple)
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 16/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
Conclusión
Con esta con guración, ahora hay 3 segmentos de red efectivos:
LAN
VPN
Usar VLAN para segmentar redes y trá co es una excelente manera de implementar
diferentes reglas de enrutamiento y necesidades de trá co, especialmente cuando se usa
un enrutador que tiene puertos físicos limitados.
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 17/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 18/20
9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
7 Comments philsheets
1 Login
LOG IN WITH
OR SIGN UP WITH DISQUS ?
Name
Set the IPv4 configuration on the OpenVPN assigned interface to "None" not "DHCP". There is zero reason to
try to enable dhclient there.
And, by setting both OpenVPN gateways to Tier 1 in the gateway group, a load-balancing configuration is
created - not a failover. Setting the preferred gateway to Tier 1 and the backup to Tier 2 would create a failover
configuration.
0 replies
0 retweets
0 likes
△ ▽ • Reply • Share ›
DNS leak protection will then be automatic as the DNS queries will all be routed out the VPN and
blocked from egressing WAN by the NO_WAN_EGRESS tag/match rules.
Preventing leaks when the pfSense forwarder or resolver is used by the clients is more difficult since the
queries are then sourced from the firewall itself and are not subject to the policy routing out the VPN
gateways.
△ ▽ • Reply • Share ›
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 20/20