Ich habe ein OPNsense-Gerät mit einem IPsec-VPN zu einer Remote-Site, das einwandfrei funktioniert. Der gesamte Datenverkehr aus dem LAN sollte über das VPN laufen, daher habe ich Phase 2 wie folgt konfiguriert:
- Lokales Subnetz: LAN-Netzwerk
- Remote-Subnetz: 0.0.0.0/0
Der gesamte Datenverkehr aus meinem LAN geht jetzt durch den Tunnel. Das bedeutet jedoch, dass sogar IP-Pakete an die Firewall selbst durch das VPN geleitet werden. Ich kann sie auf dem Remote-Gateway sehen, wo sie (offensichtlich) gelöscht werden. Infolgedessen kann ich die OPNsense-Web-Benutzeroberfläche nicht mehr über meine LAN-Schnittstelle erreichen. Andere Schnittstellen funktionieren weiterhin wie erwartet.
Wie kann ich verhindern, dass OPNsense Datenverkehr, der direkt für die eigenen Schnittstellen bestimmt ist, in den VPN-Tunnel sendet?
Meine erste Idee war, eine statische Route hinzuzufügen, aber ich bin nicht sicher, ob das möglich wäre, da es keinen nächsten Hop gibt.
Bitte beachten Sie, dass es hier nicht darum geht, den Zugriff auf die Verwaltungs-Benutzeroberfläche wiederherzustellen. Ich weiß, wie das geht. Ich möchte den Zugriff vom LAN aus zulassen, während der übrige LAN-Verkehr in den Tunnel geleitet wird.
Antwort1
Mit der Idee der statischen Route liegen Sie richtig. Routen werden nach ihrer Spezifität priorisiert.
0.0.0.0/0 ist am allgemeinsten und sollte immer zuletzt ausgewertet werden.
Ich würde vorschlagen, stattdessen eine Route einzurichten, die nur zum Remote-Netzwerk passt 0.0.0.0/0. Etwas wie 10.2.0.0/16oder was auch immer zu Ihren Netzwerken passt. Sie können auch eine für das lokale Netzwerk erstellen wie 10.1.0.0/16(oder was auch immer), um sicherzustellen, dass es eine Verbindung zu lokalen Geräten herstellen kann.