VLAN y VPN - Enrutamiento Segmentado Pfsense

9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense
 MENÚ
VLAN y VPN: enrutamiento

segmentado pfSense
27 DE ABRIL DE 2017 en pfSense , VLAN , Switch administrado , Tutorial , TP-Link , VPN , VPN de alta disponibilidad
Visión general
Usar una VPN mientras navega por Internet es una excelente manera de proteger su
identidad y evitar que su ISP use sus datos y hábitos personales para sus propios
bene cios. Sin embargo, con gurar clientes VPN en todos sus dispositivos puede ser muy
tedioso e incluso imposible con dispositivos como Chromecast / Firestick. Además, es
posible que parte del trá co no sea necesario para enrutar a través de VPN (juegos y otros
programas críticos de latencia).
https://philsheets.me/blog/multi-vlan-vpn-endpoint-pfsense-network/ 1/20
Una forma de crear un entorno de red VPNed exible es usar VLAN para segmentar el
trá co de red diferente. Las VLAN con guradas correctamente permitirán que el trá co
saliente de diferentes segmentos se enrute a diferentes puntos nales VPN al tiempo que
permite (o no) el enrutamiento interno normal entre segmentos de red.
Hardware
Esta guía se basa en el siguiente equipo:
Qotom Q150P-S08 (dispositivo enrutador de baja potencia)
Conmutador inteligente gestionado TP-Link de 8 puertos (TL-SG108E)
El rendimiento de Qotom con VPN fue revisado en una publicación anterior: PFSense
Dedicated Micro Router
* Para usar VLAN, se requiere un conmutador administrado.
Requisitos
LAN proporcionará una conexión desnuda a Internet a través de la puerta de enlace
del ISP.
La VLAN 10 (LAB / MAN) proporcionará una red de gestión / LAB

El trá co con destino a WAN se enrutará a través de un punto nal VPN alojado en
una gota de océano digital.
Se etiquetará el trá co y se evitará que NO_WAN_EGRESS salga de la puerta de enlace
predeterminada.
El trá co de VLAN 10 podrá atravesar todos los demás segmentos de red.
VLAN 20 (VPN) proporcionará una red VPN

El trá co vinculado a WAN será enrutado a través de un punto nal VPN por un
tercer par.
Este segmento de red será para dispositivos generales y usuarios de Wi .
Solo puede acceder a dispositivos VLAN 20 y LAN.
La puerta de enlace de Internet será un grupo de puerta de enlace de alta
disponibilidad de VPN.
Preparar
Crear conexiones de cliente VPN
Crear VLAN
Con gurar servidores DHCP para VLAN
Crear interfaces
Agregar reglas de mapeo saliente
Con gurar VPN Gateway de alta disponibilidad
Agregar reglas de enrutamiento
Crear conexiones de cliente VPN

Navegue a VPN -> OpenVPN -> Clientes
Haga clic en el botón verde '+' para abrir la página de con guración del cliente.
Siga las instrucciones proporcionadas por su proveedor de VPN para agregar un nodo.
(Opcional) Repita el último paso con tantos nodos como desee si planea usar un grupo
Gateway para alta disponibilidad.
Crear VLAN
Con guración de pfsense
Vaya a Interfaces -> VLAN
Haga clic en el botón verde '+' para abrir la página de con guración de VLAN.
Establecer una etiqueta de VLAN única
La interfaz principal debe ser el puerto LAN.
En esta con guración, habrá 2 VLAN diferentes:
VLAN 10 (Laboratorio / Administración):

Puede acceder a todos los demás segmentos de red.
La puerta de enlace a Internet será una VPN alojada de forma privada en Digital
Ocean.
VLAN 20 (VPN):
Este segmento de red será para dispositivos generales y usuarios de Wi .
Solo puede acceder a dispositivos VLAN 20 y LAN.
La puerta de enlace de Internet será un grupo de puerta de enlace de alta
disponibilidad de VPN.
Con guración de conmutador administrado

Consulte las instrucciones de con guración de sus conmutadores para la
con guración de VLAN.
Esta con guración utiliza un TP-Link (TL-SG108E) . Se pueden encontrar por $ 30 y son
completamente manejables desde una interfaz web.
Elija un puerto en el conmutador para ser el enlace troncal. Conectará todo el trá co
de VLAN al enrutador.
Seleccione 'Etiquetado' para ese puerto en cada VLAN que usará.
Seleccione 'Sin etiquetar' para cada puerto que se conectará a un dispositivo con
trá co en la VLAN seleccionada.
Crear interfaces
Navegue a Interfaces -> Asignaciones de interfaz
Cree nuevas interfaces utilizando las VLAN que se crearon anteriormente

seleccionándolas del menú desplegable y haciendo clic en el botón verde '+'.
Haga clic en el nombre de la interfaz recién creada o selecciónela en el menú

desplegable de la interfaz en la cinta superior.
Habilitar la interfaz.
Agrega una descripción única.
Deje el Tipo de con guración IPv4 establecido en DHCP. La dirección IPv4 será
establecida por el servidor VPN.
Cree nuevas interfaces utilizando los clientes VPN que se con guraron anteriormente
seleccionándolos en el menú desplegable y haciendo clic en el botón verde '+'.
Haga clic en el nombre de la interfaz recién creada o selecciónela en el menú

desplegable de la interfaz en la cinta superior.
Habilitar la interfaz.
Agrega una descripción única.
Establezca el Tipo de con guración de IPv4 en Estático.
Establecer un segmento de dirección IPv4. Este segmento será utilizado por todos los
dispositivos en la VLAN.
Con gurar servidores DHCP para VLAN

Vaya a Servicios -> Servidor DHCP
Seleccione una pestaña que coincida con una de las interfaces VLAN.
Habilitar servidor DHCP.
Establezca el rango de arrendamiento de DHCP para los dispositivos en el segmento

de red.
Si lo desea, los servidores DNS únicos se pueden con gurar en la sección del servidor.
Si se deja en blanco, utilizará los servidores DNS predeterminados que se le asigna

pfSense.
Repita estos pasos para todas las VLAN creadas.
Con gurar VPN Gateway de alta disponibilidad

Si se han creado varios clientes VPN, se pueden asignar a un grupo de puerta de enlace. Al
hacer esto, si un cliente VPN deja de funcionar, el trá co asignado al grupo de puerta de
enlace pasará a otro cliente.
Vaya a Sistema -> Enrutamiento -> Grupos de puerta de enlace
Haga clic en el botón verde '+' para abrir la página de con guración de Gateway
Group.
- Dé un nombre al grupo.
Establezca los niveles de las puertas de enlace VPN para usar en el grupo en el Nivel 1
(esto creará un uso de round robin). Si uno está con gurado en el Nivel 1 y otro está
con gurado en el Nivel 2, la puerta de enlace de Nivel 2 solo se utilizará cuando la
Puerta de enlace de Nivel 1 falle.
Agregar reglas de mapeo saliente

Navegue a Firewall -> NAT -> Saliente
Establezca el Modo NAT saliente en Manual
Agregue un conjunto de mapeo saliente para cada interfaz VPN creada con la fuente
que es el segmento de red de la VLAN asociada.
Agregar reglas de enrutamiento

Navegue a Firewall -> Reglas
En la parte superior hay pestañas para cada interfaz que se ha creado.
Para cada interfaz asignada a un cliente VPN, cree una regla que pase todo el trá co.
Para cada interfaz asignada a una VLAN, se deberán crear grupos de reglas para dirigir el
ujo de trá co.
Si hay una VLAN u otro segmento de red que no debería ser accesible desde otro,
agregue una regla de bloqueo con el segmento prohibido como destino
Para permitir que el trá co pueda acceder a otros segmentos, se debe crear una regla
de paso para dirigir el trá co a usar la puerta de enlace predeterminada del enrutador
o de lo contrario intentará usar la VPN para la dirección local.
Cree una regla que pase el trá co de la VLAN al grupo de puerta de enlace. (La opción
de modo Puerta se encuentra en Opciones avanzadas)
Para cualquier trá co que coincida con una regla a la que no desea acceder a Internet
a menos que sea a través de una VPN, agregue una NO_WAN_EGRESS etiqueta a la regla.
(La etiqueta se puede encontrar en la con guración avanzada)
Esto etiquetará el paquete que coincide con la regla y se puede ltrar con una regla
otante.
Para agregar una regla otante:
Seleccione la pestaña "Flotante" en la parte superior de la página Reglas.
Seleccionar acción -> Bloqueo
Para las interfaces, seleccione cualquier interfaz por la que no desee que se pase el
trá co etiquetado (útil si se trata de una con guración de WAN múltiple)
Agregue la NO_WAN_EGRESS etiqueta en Etiquetado. (Se puede encontrar en la

con guración avanzada)
Conclusión
Con esta con guración, ahora hay 3 segmentos de red efectivos:
LAN
LAB / Gestión (VLAN 10)
VPN
Cualquier dispositivo conectado a un puerto asignado a VPN utilizará el grupo VPN

Gateway para acceder a Internet.
La conexión de un punto de acceso Wi a un puerto asignado a la VLAN VPN servirá a

todos los dispositivos conectados desde la puerta de enlace VPN.
Usar VLAN para segmentar redes y trá co es una excelente manera de implementar
diferentes reglas de enrutamiento y necesidades de trá co, especialmente cuando se usa
un enrutador que tiene puertos físicos limitados.
Hojas de Phil Compartir esta

publicacion
Leer más publicaciones de este autor.
  
READ THIS NEXT YOU MIGHT ENJOY
Padrinos de boda PFSense Micro Router

Carritos de cerveza dedicado
Regalos de padrinos de boda Este fue el Después de tener algunos problemas
primer proyecto de carpintería que intenté, molestos con una instancia virtualizada de
aparte de construir objetos de utilidad PFSense (rendimiento inconsistente y
(estantes, mesas de trabajo ...). YO… problemas de OpenVPN), decidí ...
7 Comments philsheets 
1 Login
 Recommend 2 t Tweet f Share Sort by Best
Join the discussion…
LOG IN WITH
OR SIGN UP WITH DISQUS ?
Name
Adrien Carlyle • 2 years ago

I used a similar setup to get US Netflix via a DO droplet that hosted a VPN tunnel until Netflix started blocking
their IP addresses. Very good reference/guide for new users!
2△ ▽ • Reply • Share ›
gonace • 7 months ago

Hi
I'm having problems getting VPN for a specific VLAN to route through tha VPN WLAN Gateway, traffic seems
to be routed through the default Gateway instead, is there anyway to get some help understanding what I'm doing
wrong? Regards!
△ ▽ • Reply • Share ›
backsnarf • a year ago

Two corrections:
Set the IPv4 configuration on the OpenVPN assigned interface to "None" not "DHCP". There is zero reason to
try to enable dhclient there.
And, by setting both OpenVPN gateways to Tier 1 in the gateway group, a load-balancing configuration is
created - not a failover. Setting the preferred gateway to Tier 1 and the backup to Tier 2 would create a failover
configuration.
0 replies
0 retweets
0 likes
Filbert • 2 years ago

Great guide - will definitely give it a go. I know this is not directly related to the guide, but at a high level I'd be
very interested to know how dns leak prevention could be implemented. Thanks
backsnarf > Filbert • a year ago

Tell the clients that are supposed to use the VPN to use internet DNS servers like google Level 3 quad9
Tell the clients that are supposed to use the VPN to use internet DNS servers like google, Level 3, quad9,
OpenDNS, something at the VPN provider, etc.
DNS leak protection will then be automatic as the DNS queries will all be routed out the VPN and
blocked from egressing WAN by the NO_WAN_EGRESS tag/match rules.
Preventing leaks when the pfSense forwarder or resolver is used by the clients is more difficult since the
queries are then sourced from the firewall itself and are not subject to the policy routing out the VPN
gateways.
Phil Sheets © 2019 Orgullosamente publicado con Ghost

VLAN y VPN - Enrutamiento Segmentado Pfsense

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

VLAN y VPN - Enrutamiento Segmentado Pfsense

Caricato da

Copyright:

Formati disponibili

9/5/2019 VLAN y VPN: enrutamiento segmentado pfSense

VLAN y VPN: enrutamiento

Qotom Q150P-S08 (dispositivo enrutador de baja potencia)

Conmutador inteligente gestionado TP-Link de 8 puertos (TL-SG108E)

* Para usar VLAN, se requiere un conmutador administrado.

La VLAN 10 (LAB / MAN) proporcionará una red de gestión / LAB

VLAN 20 (VPN) proporcionará una red VPN

Con gurar servidores DHCP para VLAN

Agregar reglas de mapeo saliente

Con gurar VPN Gateway de alta disponibilidad

Agregar reglas de enrutamiento

Crear conexiones de cliente VPN

Establecer una etiqueta de VLAN única

La interfaz principal debe ser el puerto LAN.

En esta con guración, habrá 2 VLAN diferentes:

VLAN 10 (Laboratorio / Administración):

Con guración de conmutador administrado

Seleccione 'Etiquetado' para ese puerto en cada VLAN que usará.

Cree nuevas interfaces utilizando las VLAN que se crearon anteriormente

Haga clic en el nombre de la interfaz recién creada o selecciónela en el menú

Agrega una descripción única.

Haga clic en el nombre de la interfaz recién creada o selecciónela en el menú

Agrega una descripción única.

Establezca el Tipo de con guración de IPv4 en Estático.

Con gurar servidores DHCP para VLAN

Habilitar servidor DHCP.

Establezca el rango de arrendamiento de DHCP para los dispositivos en el segmento

Si se deja en blanco, utilizará los servidores DNS predeterminados que se le asigna

Repita estos pasos para todas las VLAN creadas.

Con gurar VPN Gateway de alta disponibilidad

Vaya a Sistema -> Enrutamiento -> Grupos de puerta de enlace

Agregar reglas de mapeo saliente

Establezca el Modo NAT saliente en Manual

Agregar reglas de enrutamiento

En la parte superior hay pestañas para cada interfaz que se ha creado.

Para agregar una regla otante:

Seleccione la pestaña "Flotante" en la parte superior de la página Reglas.

Seleccionar acción -> Bloqueo

Agregue la NO_WAN_EGRESS etiqueta en Etiquetado. (Se puede encontrar en la

LAB / Gestión (VLAN 10)

Cualquier dispositivo conectado a un puerto asignado a VPN utilizará el grupo VPN

La conexión de un punto de acceso Wi a un puerto asignado a la VLAN VPN servirá a

Hojas de Phil Compartir esta

READ THIS NEXT YOU MIGHT ENJOY

Padrinos de boda PFSense Micro Router

 Recommend 2 t Tweet f Share Sort by Best

Join the discussion…

Adrien Carlyle • 2 years ago

gonace • 7 months ago

backsnarf • a year ago

Filbert • 2 years ago

backsnarf > Filbert • a year ago

Phil Sheets © 2019 Orgullosamente publicado con Ghost

Potrebbero piacerti anche