[HOWTO] - Wie routet man ein eigenes VLAN durch NordVPN

Zitat von IT-Spielwiese

Hi,

ich habe mich für dieses Thema auch interessiert und es ausprobiert. Dies geht inzwischen mit WireGuard sehr easy. Bevor ich aber sage wie ich es gemacht habe möchte ich etwas entscheidendes mitteilen weshalb ich es dann auch anders gelöst habe.

Wenn man die UDM-Pro oder SE usw. als WireGuard Client bei einem VPN Anbieter anmeldet kann man ausgewählten Traffic darüber routen. Ich habe das Ganze mit dem Anbieter SurfShark erledigt.

Was mich verwunderte war zum einen, dass ich ca auf 100 Mbit gekommen bin. Müsste aber viel mehr möglich sein. Was mir aber gar nicht gefiel war, dass wenn irgendetwas mit der VPN Verbindung ist dann geht der Traffic über die normale Leitung. Da ich ein WLAN darüber route war mich das wichtig.

Deshalb habe ich einen Mini-Router von GL-iNet genommen. Dieser beinhaltet einen Kill-Switch. Auf diesem also den VPN-Anbieter eingerichtet. Den GL-iNet habe ich dann über ein entsprechendes VLAN ins Netz gebunden. Wenn also etwas mit dem VPN nicht funktionieren sollte gibt es auch keinen Traffic.

Alles anzeigen

Das Wäre was für unsere Wiki, wenn du ein Tutorial schreiben könntest?

Zitat von iTweek

Das Wäre was für unsere Wiki, wenn du ein Tutorial schreiben könntest?

Ich werde dazu etwas schreiben.

Zitat von este

könntest du ev. beide möglichkeiten kurz erklären? ich finde auf meinem UDR leider nur die openvpn version. und da ich eigentlich einen gl-inet habe den ich aussortieren wollte interessiert mich auch wie du ihn eingebunden hast?

danke

Mach ich, ich schreibe später etwas dazu.

Hi,

ich möchte hier zwei Möglichkeiten aufzeigen wie ein VPN Anbieter genutzt werden kann um sein Traffic oder ein bestimmtes Traffic darüber zu routen.

Bei der ersten Variante werden wir dies ausschließlich mit einem UniFi Gateway (UDR/UDM-Pro/UDM-SE) machen. Bei dieser Variante ist mir persönlich aufgefallen, dass zum einen die Bandbreite nicht voll ausgenutzt wurde und zum weiteren falls es mal so sein sollte, dass die VPN Verbindung ausfällt, der Traffic über den eigenen Anschluss also IP ins Internet geht. Vielleicht sind hier weitere Optimierungen möglich um den einen oder anderen Punkt weiter zu verbessern. Näher habe mich damit nicht beschäftigt.

Bei der zweiten Variante nutze ich für die VPN Verbindung einen Mini-Router welcher einen Kill-Switch beinhaltet. Hierbei wird bei einem Fehler oder Unterbrechung der VPN-Verbindung sichergestellt, dass kein Traffic über dieses Netz läuft. Auf diese Weise ist sichergestellt, dass Traffic welcher ausschliesslich über die VPN-Verbindung geroutet werden soll nicht versehentlich über die eigenen IP ins Internet gelangt. Bei dieser Variante konnte ich einen viel höheren Durchsatz erreichen.

1. Variante

1.1. Als erstes erstellen wir uns ein neues Netz also ein VLAN um auf diesem Netz die Clients mit IP-Adressen zu versorgen welche das VPN-Gateway nutzen sollen. Das VLAN muss hierbei einen IP-Adressbereich hinterlegt bekommen damit sich die Clients auf diesem Netz anmelden und von diesem eine IP Adresse erhalten können.

1.2. Als zweitens erstellt ihr euch eine neue SSID wenn ihr für das obere Netz einen eigenen Zugang schaffen wollt. Falls ihr 802.1X nutzt könnt ihr die Zuweisung zum erstellten Netz auch darüber laufen lassen.

1.3. Für die VPN-Verbindung zu unserem Anbieter nach Wahl müssen wir unter den Einstellungen - Teleport & VPN einen VPN Client anmelden. Hier ist aktuell seitens UniFi ausschliesslich OpenVPN möglich. Besorgt euch dazu entsprechende Zugangsdaten bei eurem VPN Anbieter oder eine entsprechende Konfigurationsdatei. Wenn die Verbindung zum VPN-Anbieter steht bekommt ihr dies entsprechend angezeigt.

1.4. Danach erstellen wir unter Einstellungen - Traffic Management eine neue Route. Wir wählen den gesamte Traffic von unserem Target Netz also das erstellte Netz über welchen sich die Clients anmelden soll über das Interface unseres erstellten VPN-Anbieters laufen.

Als Grundlage für diese Vorgehensweise nutzte ich folgendes Video:

Unifi VPN Client routing

In this video we take a look at routing a client VPN through expressvpn privacy VPN. You can use what ever privacy VPN provide you chooseVPN going through NO...

www.youtube.com

2. Variante

2.1. Wir erstellen wieder ein VLAN. Aber diesmal ein VLAN only, also ohne Gateway und IP-Adressbereich.

2.2. Hier erstellen wir wieder eine neue SSID oder nutzen unser vorhandene 802.1X Setup um in das erstellte VLAN zu kommen.

2.3. Nun nehmen wir beispielsweise einen GL-iNet Router welcher sich per VPN-Client sowohl über OpenVPN wie auch WireGuard bei den entsprechenden VPN-Anbietern anmelden kann. Der GL-iNet Router hat einen WAN und einen oder mehrere LAN Anschlüsse.

Den LAN Anschluss verbinden wir mit unserem erstellten VLAN only. Den WAN Anschluss schliessen wir an ein VLAN mit Gateway am UniFi. Gerne kann dazu auch ein Gästenetzwerk genommen werden.

2.4. Jetzt ist der GL-iNet Router unser VPN-Gateway. Durch den LAN Port kommen wir ins VPN-Gateway rein und durch den WAN Port raus zum VPN-Anbieter. Bei entsprechender Konfiguration vom GL-iNet Router lässt sich die Funktion Kill-Switch einrichten. Dadurch geht kein Traffic raus falls die VPN-Verbindung ausfällt.

Auf die Schnelle reicht euch evtl. die Anleitung. Ansonsten gerne Fragen stellen. Anhand der Fragen kann man die Anleitung verfeinern und evtl. mit Bildern ergänzen.

Viel Spass beim ausprobieren.

Welches Modell von GL-iNet wird hier verwendet?

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Welches Modell von GL-iNet wird hier verwendet?

Ich nutze dafür den GL-MV1000. Diese Version läuft mit der Firmware 3.X. Die neueren Geräte laufen schon auf Version 4.X.

Ich habe mir mal nen GL.iNet GL-AR750 bestellt, wird morgen geliefert!

ASIN: B07GBXMBQF
Diesen Artikel bei Amazon.de aufrufen
(Amazon-Partnerlink)

Zitat von iTweek

Das Wäre was für unsere Wiki, wenn du ein Tutorial schreiben könntest?

Ditt wär' echt kuhl IT-Spielwiese .

Zitat von thezepter

Für die UDM ist das doch hier intern beschrieben wenn ich mich nicht irre

Je nach Einsatz wäre Variante 2 von Vorteil!

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Je nach Einsatz wäre Variante 2 von Vorteil!

Vielleicht als Unterseite, falls Du das darfst IT-Spielwiese .

So, mein GL.iNet GL-AR750 -Ext(Slate) ist gerade ingetrudelt! Gleich mal testen:

Zitat von IT-Spielwiese

2. Variante

2.1. Wir erstellen wieder ein VLAN. Aber diesmal ein VLAN only, also ohne Gateway und IP-Adressbereich.

2.2. Hier erstellen wir wieder eine neue SSID oder nutzen unser vorhandene 802.1X Setup um in das erstellte VLAN zu kommen.

2.3. Nun nehmen wir beispielsweise einen GL-iNet Router welcher sich per VPN-Client sowohl über OpenVPN wie auch WireGuard bei den entsprechenden VPN-Anbietern anmelden kann. Der GL-iNet Router hat einen WAN und einen oder mehrere LAN Anschlüsse.

Den LAN Anschluss verbinden wir mit unserem erstellten VLAN only. Den WAN Anschluss schliessen wir an ein VLAN mit Gateway am UniFi. Gerne kann dazu auch ein Gästenetzwerk genommen werden.

2.4. Jetzt ist der GL-iNet Router unser VPN-Gateway. Durch den LAN Port kommen wir ins VPN-Gateway rein und durch den WAN Port raus zum VPN-Anbieter. Bei entsprechender Konfiguration vom GL-iNet Router lässt sich die Funktion Kill-Switch einrichten. Dadurch geht kein Traffic raus falls die VPN-Verbindung ausfällt.

Auf die Schnelle reicht euch evtl. die Anleitung. Ansonsten gerne Fragen stellen. Anhand der Fragen kann man die Anleitung verfeinern und evtl. mit Bildern ergänzen.

Viel Spass beim ausprobieren.

Alles anzeigen

IT-Spielwiese bei mir harkt es ab Punkt 2.3.

Verstehe ich das richtig, ich muss ein neues VLAN einrichten? Was ist mit VLAN Only gemeint?

Ich habe mal testweise eins angelegt. Siehe Screen:

Ich komme nicht auf das Webinterface vom GL.iNet GL-AR750 -Ext(Slate)

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

IT-Spielwiese bei mir harkt es ab Punkt 2.3.

Verstehe ich das richtig, ich muss ein neues VLAN einrichten? Was ist mit VLAN Only gemeint?

Ich habe mal testweise eins angelegt. Siehe Screen:

Ich komme nicht auf das Webinterface vom GL.iNet GL-AR750 -Ext(Slate)

Alles anzeigen

Du musst ein VLAN mit Third-party Gateway erstellen. Also unter dem Namen von deinem TestVPN hast du doch den Punkt Router. Dort ist aktuell dein UDM-SE ausgewählt. Dort ist dann der Punkt Third-party Gateway. Dadurch hast du ein VLAN only ohne Gateway und nichts. Weil ja das Gateway der GL-iNet Router übernehmen soll.

Okay gemacht:

In der Device Liste wird der GL-iNet Router aufgelistet unter folgende IP: 192.168.1.49 diese ist jedoch nicht aufrufbar, sprich auf das Webinterface kann nicht zugegriffen werden!

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Okay gemacht:

In der Device Liste wird der GL-iNet Router aufgelistet unter folgende IP: 192.168.1.49 diese ist jedoch nicht aufrufbar, sprich auf das Webinterface kann nicht zugegriffen werden!

Du meinst sicherlich in der Device-Liste vom UDM-SE, richtig? Davon ausgehend sollte die IP welche du meinst angegeben sein wenn du dich mit dem WAN Port des GL-iNet an dieses Netz von der UDM-SE verbunden hast. Darüber bekommst du natürlich keinen Zugriff auf den GL-iNet da ja ein WAN Port, außer du hast diesen vorher konfiguriert. Der WAN Port vom GL-iNet Router bekommt ja wahrscheinlich eine IP von deinem UDM-SE damit dieser online gehen kann. Diese IP nicht verwechseln mit der IP des GL-iNet Routers welcher über den LAN Port erreichbar ist.

Du musst dich entweder direkt an den GL-iNet über LAN anschliessen und dann die IP 192.168.8.1 aufrufen oder wenn du dein VLAN only Netz mit dem LAN Port der GL-iNet verbunden hast darüber ist ja im Grunde das gleiche. Mit dem VLAN only Netz schaffst du halt die Brücke zu dem GL-iNet Router.

Juhuuu, jetzt klappt alles! Ich kann endlich meinen Traffic über den VPN (Wireguard) laufen lassen. Danke IT-Spielwiese

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Juhuuu, jetzt klappt alles! Ich kann endlich meinen Traffic über den VPN (Wireguard) laufen lassen. Danke IT-Spielwiese

Super, freut mich ;).

Ist es möglich die VPN Verbundung auf der UDM-SE am WAN Port zu hängen?

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Ist es möglich die VPN Verbundung auf der UDM-SE am WAN Port zu hängen?

Bitte was? Ich kann der Frage nicht folgen. Tut mir leid.

so.....nun auch beide "Quasi"-UASXG Supermicroserver
wieder mit 2x 10G Copper über die neuen 3rd Gen SFP+ 10G Transceivermodule "UACC-CM-RJ45-MG" von UI angebunden...

hatte temp. 3 von 4 Ports mit den alten UF-RJ45-10G (1st Gen) Bratspießen nur Probleme
- Speeddown auf 1G

- oder gar kein Connect....

(und das mit den feinsten 1-2m CAT7 Kabeln direkt !)

In der Gemengelage
Pro-Aggregation <==> Dual Port 10G Intel Copper NIC Onboard (55x Chipset)
sind offenbar die alten Transceiver eine totale Katastrophe