Hallo zusammen,
bin neu hier, hab aber gleich eine kleines Problem da ich nicht der große Netzwerker bin.
Folgender Aufbau.
An meiner Fritzbox hängt ein Raspberry der sich über DHCP eine IP von der Box zieht und dann eine VPN-Tunnel aufbaut und auf dem gleichen Interface ein zweites Netz mir 5 IPs bereit stellt. (Klar, der Raspberry hat ja nur einen Netzwerkport)
Ebenfalls von der Fritzbox geht ein Kabel zum VM Server mit PFSense.
Somit habe ich auf dem Port das interne Netz von der Fritzbox 192.168.178.0/24 und das Netz von der VPN 188.x.x.x/29
Ich hätte gerne das VPN-Netz aber gerne als eigenes Interface ein einem eigenen VLAN.
Wie könnte ich das am besten lösen?
Ziel wäre, dass ich auf dem VPN-Netz mit Firewall-Regeln arbeiten kann und nicht für jede VM eigende Firewalls plegen muss.
Hat jemand einen Tipp?
Danke und Grüße
Klaus
Verrätst du uns mal was für ein VPN? VPN ist ja nicht VPN. Also Wireguard, IPSec. openVPN und Zweck des VPN? Also um von außen in dein heimisches Netz zu kommen oder ein VPN zu einem Provider um deinen Internetverkehr zu anonymisieren?
Macht bei möglichen Lösungsvorschlägen ja einen Unterschied.
Was dass für VPN ist, weiß ich nicht. Ist wie gesagt eine Blackbox wo ich nicht ran komme. Macht aber ein Site2Site welches mir 5 öffentliche IPs bereit stellt, wo ich dann z.B. einen Mail-Server oder Webserver mit fester IP betreiben kann.
Funktioniert wunderbar, nur eben mit der Einschränkung, dass es im gleichen Segment hängt.
Moin, zwei Netze in der gleichen Broadcast-Domain ist nie gut. Hast du einen VLAN-fähigen Switch zwischen der Fritzbox und dem Raspberry Pi? Wird aber auch schwierig, wenn du auf dem Pi nichts ändern kannst (?) (So hab ich das verstanden)
Weil wie die sich das vorstellen, dass man das sinnvoll betreiben soll, weiß ich nicht, wenn man noch nicht mal VLANs einrichten kann…
Ja, genau das ist mein Problem.Sonst hätte ich das in VLANs verpackt. Switch wäre vorhanden.
Der Raspi hängt aktuell direkt an der Fritzbox. Aber daran sollte es nicht scheitern. Aber laut Provider bauen die keine „Sonderlocken“
Sowas hab ich nämlich als Produkt eines Providers noch nie gehört. Das funktioniert zwar rein theoretisch in einer Broadcast-Domain (L2-Netzwerk), aber ich würde niemals auf so eine Idee kommen, schon gar nicht wenn das irgendwo professionell angeboten wird(?)
Hast mal geschaut, ob da die IPs aus dem VPN evtl. auf einem Subinterface mit anderer MAC Adresse rauskommen?
Dann könntest du - einen entsprechenden Switch vorausgesetzt - ein MAC-based VLAN einrichten.
Immer noch ziemlich dürftige Informationen. Daher ist einiges Vermutung.
Ich vermute also mal dass der PI die Site2Site-VPN-Verbindung initiiert. Wenn dem so ist, dann muss der PI nicht direkt an der Fritte angeschlossen sein. Er könnte genauso gut in ein separates Netzwerksegment hinter die sense kommen.
Ich vermute auch mal, dass die erwähnten Server (Z.B. Mail-Server, Webserver), für die du so die 5 IP-Adressen bekommst, ebenfalls bei dir Zuhause stehen. Das sollte dann auch weiterhin funktionieren, wenn der PI mit diesen Servern in einem separaten Segment der sense ist.
Herstellen kannst du das entweder über VLAN-ID’s und einem gemanagten Switch oder eine weitere Netzwerkkarte in oder an (USB) der sense.
Allerdings frag ich mich ernsthaft, warum man sich so eine Blackbox ins Haus stellt, von der man nicht weiß was die macht. Wenn ich den Aufwand betreibe, Server in meinen eigenen vier Wänden zu betreiben, dann doch weil ich die Kontrolle über das haben will, was mit meinen Daten auf diesen Servern passiert. Mit so einer Blackbox, geb ich diese Kontrolle ja nun wieder zu einem Großteil ab. Und kostenlos wird dieser VPN-Service ja auch nicht sein. Dann kann man doch besser gleich bei einem Anbieter einen oder mehrere V-Server mieten und dort die Server betreiben.
Im übrigen benötigt man ja nur selten für jeden Server eine eigene IPv4-Adresse. Unterschiedliche Server (Mail-Server oder Webserver) nutzen ja unterschiedliche Ports. Daher kann der Mail-Server durchaus die gleiche IP-Adresse nutzen wie der Webserver. Welcher Server angesprochen wird, wird dann (bei gleicher IP-Adresse) über die angesprochenen Ports definiert.
Nachtrag: Server ist ja nicht immer ein physischer Server, also PC, sondern Server ist auch ein Serverdienst, wie eben Mail- oder Webserver. Mehrere Serverdienste kann ich auch auf einem physischen oder virtuellen (V-)Server betreiben. Dann reicht eine IP-Adresse für mehrere Serverdienste aus, wegen der unterschiedlichen genutzten Ports.
Hm, die Idee den Raspberry in ein anderes Subnetz zu hängen ist nicht schlecht. Allerdings löst das nicht meinen Ansatz, Firwallregeln in pfSense zu pflegen. Muss ich mir mal durch den Kopf gehen lassen.
Das mit der Blackbox finde ich nicht so schlecht, da ich mich mit Netzwerk nicht so gut auskenne und ich micht darum nicht auch noch kümmern muss.
Aber nur so als Gedanke, was ist schlimmer, eine Blackbox , die nichts anderes macht als vollautomatisch ein VPN auf zu bauen und mir die IPs bereits stellt, oder meine Daten zu einen Hoster zu überlassen, wo ich nicht weiß was damit passiert? 
Ein V-Server käme nicht in Frage und Blech ist mir zu teuer. Wir Hosten ein paar tauschend von den Dingern in der Arbeit.
Ich bin zwar kein Netzwerker, aber mit Virtualisierung und Applikationen kenne ich mich aus. Erste Regel, pro Dienst eine VM! Mehere Dienste in einer VM zu betreiben ist machbar, aber aus meiner Erfahrung absoluter Pfusch. Das habe ich täglich im Job. Nein Danke. Dann lieber mit der Einschänkung leben.
Beste Grüße aus dem Süden 
Wozu hast du eine pfsense wenn du dich mit Netzwerk nicht weiter befassen willst? Erst wenn man sich mit Netzwerk befässt macht der Betrieb einer sense doch Sinn. Ansonsten könntest du das doch gleich der Fritte überlassen und mit dem leben was die kann.
Ich hab auch 'ne pfsense und die Fritte in Rente geschickt. Am WAN der sense hab ich ein Modem. Daneben hat die sense noch je ein lokales Interface für LAN, WLAN, IoT und DMZ. Somit sind bei mir die verschiedenen Netze sauber getrennt und ich kann diese mit jeweils spezifischen Firewall-Regeln beeinflussen und steuern was dort geht und was nicht.
In der DMZ hab ich z.B. eine VM mit Nextcloud, die ich auchd irekt von außen aus dem Netz erreichen kann. Das ist notwendig weil ich dort mein Adressbuch und Kalender für die Mobilgeräte (Smartphone, Tablet) habe, statt dafür auf Google zu vertrauen.
Im Segment IoT befinden sich sauber abgetrennt Geräte wie smarte Heizungssteuerung, der smarte Fernseher etc. Sowas will ich ja nicht im normalen vertrauenswürdigen Netz (LAN, WLAN) haben, denn da weiß man ja nie wie gut und lange solche Geräte mit Updates versorgt und auf einem sicheren Stand des OS gehalten werden
Nun zu deinem grundsätzlichen Problem. Trennung der Netze bei gleichzeitigem Betrieb von Servern in deinen eigenen vier Wänden.
Normal hast du doch eine IPv4-Adresse von deinem ISP bekommen, es sei denn du gehörst zu denen die bei einem ISP sind der nur noch CGNAT- oder DS-Lite bietet. Aber ich nehme mal an du hast noch eine IPv4-Adresse, weil du einen Dual-Stack-Anschluss hast. In dem Fall hast du alles was du brauchst um das zu machen was du willst ohne diese Blackbox.
Das Zauberwort ist NAT. Am WAN deiner FritzBox hast du ja genau diese IPv4-Adresse. Via NAT würdest du dann Anftragen für einen Webserver (Port 80 oder 443) weiterleiten auf den Webserver hinter der pfsense, an dessen private IP, z.B. 192.168.123.12. Hast du dann noch einen Mailserver, dann werden eben die Ports 25, 587, 465 (SMTP), 143, 993 (IMAP) und 110, 995 (POP3) an diesen weitergereicht, bzw. an dessen private IP, z.B. 192.168.123.13.
Schon kannste auf die Blackbox verzichten und mehrere physische oder virtuelle Server direkt von außen erreichen und das ganze über die pfsense steuern und vor allem auch den Netzwerkverkehr kontrollieren. Das was verschlüsselt durch den VPN-Tunnel der Blackbox läuft kannste nämlich nie kontrollieren.
Nachtrag: und im übrigen kann die pfsense alle relevanten VPN-Protokolle. IPSec und openVPN out of the Box und Wireguard nach Installation des entsprechenden Packages aus dem Package Manager. Wozu also diese zusätzliche Blackbox, wenn die pfsense das auch selbst kann? Also einfach mal den Anbieter dieses VPN-Dienstes ansprechen wie das mit der sense zu regeln wäre. Ansonsten kann man so einen Anbieter aber auch einfach nach Ablauf der Mindestvertragslaufzeit wechseln und einen suchen der so etwas ohne Blackbox anbietet.
Aber überhaupt dieses Verhalten der Blackbox, dass die das auf dem gleichen Interface bereitstellt finde ich schon komisch. Wenn das von einem ISP kommt, sollte man wenigstens eine Weboberfläche haben, wo man ein VLAN dafür festlegen kann. Weil sonst hast du nicht nur die Server in einem L3-Netz, sondern wie ich schonmal sagte 2 verschiedene L3-Netze in einer L2-Broadcastdomain. Was nie gut ist!
Vor allem, wenn du den Pi in ein anderes Subnetz hängst, hast du ja wieder das gleiche Problem, dass du es nicht getrennt kriegst