.json-Konfiguration für DNS-Server (PI-hole + Unbound) und VPN-Verbindung für VLAN gleichzeitig

**Xplosion** · 17. Mai 2022

Hallo,

ich habe mir auf einem Raspberry den PI-hole mit Unbound eingerichtet und in der .json-Datei folgende Konfiguration erstellt:

Code: config.gateway.json

{
    "service":{
        "nat":{
            "rule":{
                "1":{
                    "description":"DNS Anfragen aus VLAN 10 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.10",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "2":{
                    "description":"DNS Anfragen aus VLAN 20 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.20",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "3":{
                    "description":"DNS Anfragen aus VLAN 30 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.30",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "4":{
                    "description":"DNS Anfragen aus VLAN 40 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.40",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "5":{
                    "description":"DNS Anfragen aus VLAN 50 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.50",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "6":{
                    "description":"DNS Anfragen aus VLAN 60 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.60",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "7":{
                    "description":"DNS Anfragen aus VLAN 70 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.70",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "8":{
                    "description":"DNS Anfragen aus VLAN 80 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.80",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                }
            }
        }
    }
}

Alles anzeigen

Diese Konfiguration funktioniert soweit ganz gut. Jetzt möchte ich noch eine VPN-Verbindung zwischen meiner USG und Hidemyname herstellen. Diese soll nur von VLAN 90 genutzt werden,

Die ovpn-Datei habe ich in der USG hinterlegt und folgenden Code eingefügt:

Code: Code mit VPN

{
    "firewall":{
        "modify":{
            "PBR_VPN":{
                "rule":{
                    "20":{
                        "action":"modify",
                        "description":"traffic from VLan 90 to VPN Tunnel",
                        "modify":{
                            "table":"20"
                        },
                        "source":{
                            "address":"192.168.90.0/24"
                        }
                    }
                }
            }
        },
        "source-validation":"disable"
    },
    "interfaces":{
        "ethernet":{
            "eth1":{
                "vif":{
                    "90":{
                        "firewall":{
                            "in":{
                                "modify":"PBR_VPN"
                            }
                        }
                    }
                }
            }
        },
        "openvpn":{
            "vtun0":{
                "config-file":"/config/user-data/openvpn/vpn.ovpn",
                "description":"OpenVPN Tunnel"
            }
        }
    },
    "protocols":{
        "static":{
            "table":{
                "20":{
                    "interface-route":{
                        "0.0.0.0/0":{
                            "next-hop-interface":{
                                "vtun0":"''"
                            }
                        }
                    }
                }
            }
        }
    },
    "service":{
        "nat":{
            "rule":{
                "1":{
                    "description":"DNS Anfragen aus VLAN 10 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.10",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "2":{
                    "description":"DNS Anfragen aus VLAN 20 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.20",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "3":{
                    "description":"DNS Anfragen aus VLAN 30 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.30",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "4":{
                    "description":"DNS Anfragen aus VLAN 40 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.40",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "5":{
                    "description":"DNS Anfragen aus VLAN 50 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.50",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "6":{
                    "description":"DNS Anfragen aus VLAN 60 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.60",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "7":{
                    "description":"DNS Anfragen aus VLAN 70 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.70",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "8":{
                    "description":"DNS Anfragen aus VLAN 80 umleiten",
                    "destination":{
                        "port":"53"
                    },
                    "inbound-interface":"eth1.80",
                    "inside-address":{
                        "address":"192.168.100.2",
                        "port":"53"
                    },
                    "source":{
                        "address":"!192.168.100.2"
                    },
                    "log":"disable",
                    "protocol":"tcp_udp",
                    "type":"destination"
                },
                "5020":{
                    "description":"OpenVPN Clients",
                    "log":"disable",
                    "outbound-interface":"vtun0",
                    "source":{
                        "address":"192.168.90.0/24"
                    },
                    "type":"masquerade"
                }
            }
        }
    }
}

Alles anzeigen

Nach der Provisionierung konnte ich aus VLAN90 heraus die IP-Adresse der VPN-Verbindung abfragen. Also der Aufbau und die Verbindung funktioniert.

Allerdings hatten die anderen VLANs keine Internetverbindung mehr.

Kann sich jemand die json-Konfiguration anschauen, wo der Fehler liegen könnte?

Ich beschreibe nochmal meine Netze und Funktionen die ich haben möchte:

Netz Management: 192.168.1.0/24 (Unifi-Geräte)
Netz VLAN 10: 192.168.10.0/24 (Familie 1 kabelgebundene Geräte)
Netz VLAN 20: 192.168.20.0/24 (Familie 2 kabelgebundene Geräte)
Netz VLAN 30: 192.168.30.0/24 (Familie 3 kabelgebundene Geräte)
Netz VLAN 40: 192.168.40.0/24 (Haussteuerung -- SPS, HMI, PV-Wechselrichter...)
Netz VLAN 50: 192.168.50.0/24 (VOIP Familie 1+2+3)
Netz VLAN 60: 192.168.60.0/24 (WLAN Netz Familie 1+2+3)
Netz VLAN 70: 192.168.70.0/24 (Gäste-WLAN)
Netz VLAN 80: 192.168.80.0/24 (Testnetzwerk WLAN)
Netz VLAN 90: 192.168.90.0/24 (VPN WLAN)
Netz VLAN 100: 192.168.100.0/24 (DNS-Server PI-hole)

Wenn die VPN-Verbindung abbricht, dürfen die Geräte im VLAN90 nicht mehr ins Netz kommen (kein Fallback!)

**defcon** · 17. Mai 2022

Xplosion

Also was ich dir schonmal sagen kann, die erste json ist valid, die zweite nicht.

Kann dir nicht versprechen das ich es hinbekomme, aber ich werde mal drüber schauen.

Kannst du die 2rte json mal bitte als original im Post anhängen?

Best JSON Formatter and JSON Validator: Online JSON Formatter

Online JSON Formatter / Beautifier and JSON Validator will format JSON data, and helps to validate, convert JSON to XML, JSON to CSV. Save and Share JSON

jsonformatter.org

Code

{
    "firewall": {
        "modify": {
            "PBR_VPN": {
                "rule": {
                    "20": {
                        "action": "modify",
                        "description": "traffic from VLan 90 to VPN Tunnel",
                        "modify": {
                            "table": "20"
                        },
                        "source": {
                            "address": "192.168.90.0/24"
                        }
                    }
                }
            }
        },
        "source-validation": "disable"
    },
    "interfaces": {
        "ethernet": {
            "eth1": {
                "vif": {
                    "90": {
                        "firewall": {
                            "in": {
                                "modify": "PBR_VPN"
                            }
                        }
                    }
                }
            }
        },
        "openvpn": {
            "vtun0": {
                "config-file": "/config/user-data/openvpn/nordvpn.ovpn",
                "description": "OpenVPN Tunnel"
            }
        }
    },
    "protocols": {
        "static": {
            "table": {
                "20": {
                    "interface-route": {
                        "0.0.0.0/0": {
                            "next-hop-interface": {
                                "vtun0": "''"
                            }
                        }
                    }
                }
            }
        }
    },
    "service": {
        "nat": {
            "rule": {
                "1": {
                    "description": "DNS Anfragen aus VLAN 10 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.10",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "2": {
                    "description": "DNS Anfragen aus VLAN 20 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.20",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "3": {
                    "description": "DNS Anfragen aus VLAN 30 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.30",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "4": {
                    "description": "DNS Anfragen aus VLAN 40 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.40",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "5": {
                    "description": "DNS Anfragen aus VLAN 50 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.50",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "6": {
                    "description": "DNS Anfragen aus VLAN 60 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.60",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "7": {
                    "description": "DNS Anfragen aus VLAN 70 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.70",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "8": {
                    "description": "DNS Anfragen aus VLAN 80 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.80",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "5020": {
                    "description": "OpenVPN Clients",
                    "log": "disable",
                    "outbound-interface": "vtun0",
                    "source": {
                        "address": "192.168.90.0/24"
                    },
                    "type": "masquerade"
                }
            }
        }
    }
}

Alles anzeigen

Das hier kannst du mal probieren.... zumindest ist es so valid, kontrolliere nochmal ob alles so stimmt.

P.S. keine Garantie, Gewährleistung oder Haftung

**razor** · 17. Mai 2022

Könnte auch sein, dass mir bei der Bearbeitung des Posts ein Fehler unterlaufen ist (Spoiler --> Code).

Mea culpa.

**defcon** · 17. Mai 2022

Passt alles noch! razor

**razor** · 17. Mai 2022

Zitat von defcon

Passt alles noch! razor

Ich würde eher sagen "wieder".

**Xplosion** · 18. Mai 2022

Vielen Dank für die Antworten.

Ich prüfe vor dem Aufspielen auf die USG immer zuerst mit dem Validator.

Die zwei Code´s aus dem Post#1 von mir sind laut JSON-Validator in Ordnung. Kann da jetzt keinen Fehler feststellen.

Ich habe die json-Datei auch nochmal in den Validator eingelesen. Auch hier passt alles.

Habt ihr noch andere Ideen?

**defcon** · 18. Mai 2022

Moin
Ja jetzt nachdem der Post bearbeitet wurde sind sie beide valid vorher war es nur der erste.

Und die Formatierung des Codes hat sich ja auch geändert.

Ist aber ja auch nicht schlimm!

Zitat von Xplosion

Nach der Provisionierung konnte ich aus VLAN90 heraus die IP-Adresse der VPN-Verbindung abfragen. Also der Aufbau und die Verbindung funktioniert.
Allerdings hatten die anderen VLANs keine Internetverbindung mehr.

Sobald du dich vom VPN trennst kommt auch das Internet in den anderen VLANs zurück?

**Xplosion** · 18. Mai 2022

Ich hab aber die Datei auf meinen Computer auch mit dem Validierer getestet. Vielleicht hab ich beim Code reinkopieren ins Forum was falsch gemacht.

Aber egal. Glaub das war nicht das Problem.

Wie kann ich die VPN-Verbindung trennen ohne die alte json-Konfiguration aufzuspielen? Über SSH?

Ich hab mir jetzt nochmal ne neue Konfiguration zusammengebastelt. Die wesentliche Änderung ist der Code in Zeile 29 "name":"LAN_IN" und die NAT-Regler 5004. Hab ich wieder wo anders im Internet gefunden.

Code

{
   "firewall":{
      "modify":{
         "PBR_VPN":{
            "rule":{
               "10":{
                  "action":"modify",
                  "description":"OpenVPN",
                  "modify":{
                     "table":"10"
                  },
                  "source":{
                     "address":"192.168.90.0/24"
                  }
               }
            }
         }
      },
     "source-validation":"disable"
   },
   "interfaces":{
      "ethernet":{
         "eth1":{
            "vif":{
               "90":{
                  "firewall":{
                     "in":{
                        "modify":"PBR_VPN",
                        "name":"LAN_IN"
                        }
                  }
               }
            }
         }
      },
      "openvpn":{
         "vtun0":{
            "config-file":"/config/user-data/openvpn/vpn.ovpn",
            "description":"OpenVPN Tunnel"
         }
      }
   },
   "protocols":{
      "static":{
         "table":{
            "10":{
               "interface-route":{
                  "0.0.0.0/0":{
                     "next-hop-interface":{
                        "vtun0":"''"
                     }
                  }
               }
            }
         }
      }
   },
   "service":{
      "nat":{
         "rule":{
                "1": {
                    "description": "DNS Anfragen aus VLAN 10 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.10",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "2": {
                    "description": "DNS Anfragen aus VLAN 20 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.20",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "3": {
                    "description": "DNS Anfragen aus VLAN 30 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.30",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "4": {
                    "description": "DNS Anfragen aus VLAN 40 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.40",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "5": {
                    "description": "DNS Anfragen aus VLAN 50 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.50",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "6": {
                    "description": "DNS Anfragen aus VLAN 60 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.60",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "7": {
                    "description": "DNS Anfragen aus VLAN 70 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.70",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "8": {
                    "description": "DNS Anfragen aus VLAN 80 umleiten",
                    "destination": {
                        "port": "53"
                    },
                    "inbound-interface": "eth1.80",
                    "inside-address": {
                        "address": "192.168.100.2",
                        "port": "53"
                    },
                    "source": {
                        "address": "!192.168.100.2"
                    },
                    "log": "disable",
                    "protocol": "tcp_udp",
                    "type": "destination"
                },
                "5004":{
                    "description":"masq to vpn vtun0",
                    "destination": {
                        "address": "0.0.0.0/0"
                        },
                    "outbound-interface": "vtun0",
                    "type": "masquerade"
                }
            }
        }
    }
}

Alles anzeigen

**Xplosion** · 20. Mai 2022

Hab gestern den Code aus dem letzten Post getestet.

Zumindest funktionierte in allen Netzen das Internet. Allerdings wurde jedes Netz durch den VPN-Tunnel geleitet.

Weiß jemand warum?

**Xplosion** · 24. Mai 2022

Gibt es keinen mehr, der sich mit der Json-Konfiguration gut auskennt?

Hier nochmal meine Ergebnisse:

Code aus Post 1 mit VPN -> VLAN für VPN funktioniert / alle anderen VLAN´s haben kein Internet mehr

Code aus Post 8 -> alle VLAN´s gehen über VPN-Verbindung ins Internet

Ziel war: VLAN 90 über VPN-Tunnel, Rest ohne VPN

NAT-Regel bei Post 1:

Code

 "5020":{
 "description":"OpenVPN Clients",
 "log":"disable",
 "outbound-interface":"vtun0",
 "source":{
 "address":"192.168.90.0/24"
 },
 "type":"masquerade"

Das bedeutet, dass nur VLAN 90 über den VPN-Tunnel geleitet wird so wie ich das verstehe oder?

NAT-Regel bei Post 8:

Code

 "5004":{
 "description":"masq to vpn vtun0",
 "destination": {
 "address": "0.0.0.0/0"
 },
 "outbound-interface": "vtun0",
 "type": "masquerade"

Hier wird das gesamte Netzwerk in den VPN-Tunnel geleitet?

Brauche ich eventuell für alle anderen VLAN auch nochmal eine masquerade-Regel, die nicht in den VPN-Tunnel verweisen sondern ins "normale" Internet?

**Xplosion** · 30. Mai 2022

Ich habe den Fehler nun gefunden:

In der ovpn-Datei habe ich folgendes ändern müssen:

route-nopull > route-noexec

Danach ging das Internet wieder bei allen Netzen, die nicht durch´s VPN sollen.

Allerdings bleibt mir das USG im Controller bei "Getting ready" dauerhaft hängen.

Ich habe dann die Befehle wie unten stehend über SSH ausgeführt (sinngemäß für mein Netzwerk)

Die USG bleibt selbst nach einem Neustart auf Status "Online"

Code

# USG commands to configure VPN
#  
sudo -i 
configure  


# 1 Setup the VPN tunnels 
set interfaces openvpn vtun0 config-file /config/openvpn/myexpressuk.ovpn 
set interfaces openvpn vtun0 description 'UK OpenVPN VPN tunnel'   
set interfaces openvpn vtun1 config-file /config/openvpn/myexpressdc.ovpn 
set interfaces openvpn vtun1 description 'DC OpenVPN VPN tunnel'  
commit  


# 2 Route the appropriate devices though the related VPN tunnels  
set service nat rule 5000 description 'OpenVPN UK Clients' 
set service nat rule 5000 log disable 
set service nat rule 5000 outbound-interface vtun0 
set service nat rule 5000 source address 192.168.5.0/24 
set service nat rule 5000 type masquerade  
set service nat rule 5001 description 'OpenVPN DC Clients' 
set service nat rule 5001 log disable 
set service nat rule 5001 outbound-interface vtun1 
set service nat rule 5001 source address 192.168.10.0/24 
set service nat rule 5001 type masquerade   
set service nat rule 5002 description 'All other clients' 
set service nat rule 5002 log disable 
set service nat rule 5002 outbound-interface eth0 
set service nat rule 5002 source address 192.168.2.0/24 
set service nat rule 5002 type masquerade   


# 3 Create a static route using interface vtun0 as next-hop:    
set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface vtun0 
set protocols static table 2 interface-route 0.0.0.0/0 next-hop-interface vtun1  
commit   


# 4 Create a firewall modify rule for each host you want to route through the Open VPN tunnel.   
set firewall modify EXPRESSVPN-UK rule 10 description 'Route UK VPN network to vtun0' 
set firewall modify EXPRESSVPN-UK rule 10 source address 192.168.5.0/24 
set firewall modify EXPRESSVPN-UK rule 10 modify table 1  
set firewall modify EXPRESSVPN-DC rule 20 description 'Route DC VPN Network - to vtun1' 
set firewall modify EXPRESSVPN-DC rule 20 source address 192.168.10.0/24 
set firewall modify EXPRESSVPN-DC rule 20 modify table 2
set firewall source-validation disable  
commit   


# 5 Apply the firewall modify rule "in" to your LAN interface.   
set interfaces ethernet eth1 vif 10 firewall in modify EXPRESSVPN-UK 
set interfaces ethernet eth1 vif 20 firewall in modify EXPRESSVPN-DC   
commit 
save 
exit

Alles anzeigen

Allerdings hab ich durch den Save-Befehl oder durch den Befehl "mca-ctrl -t dump-cfg" die Konfiguration in der config.boot stehen. Wie kann ich das wieder rückgängig machen?

Ich wollte mir mit dem Befehl mca-ctrl -t dump-cfg > config.txt die aktuelle Einstellungen anschauen und mit der json-Datei von mir vergleichen.

Wo befindet sich eigentlich die config.txt nach Ausführung des Befehls mca-ctrl -t dump-cfg > config.txt ?

**razor** · 30. Mai 2022

Zitat von Xplosion

Ich habe den Fehler nun gefunden:

In der ovpn-Datei habe ich folgendes ändern müssen:

route-nopull > route-noexec

Danach ging das Internet wieder bei allen Netzen, die nicht durch´s VPN sollen.

Allerdings bleibt mir das USG im Controller bei "Getting ready" dauerhaft hängen.

Ich habe dann die Befehle wie unten stehend über SSH ausgeführt (sinngemäß für mein Netzwerk)

Die USG bleibt selbst nach einem Neustart auf Status "Online"

Code

# USG commands to configure VPN
#  
sudo -i 
configure  


# 1 Setup the VPN tunnels 
set interfaces openvpn vtun0 config-file /config/openvpn/myexpressuk.ovpn 
set interfaces openvpn vtun0 description 'UK OpenVPN VPN tunnel'   
set interfaces openvpn vtun1 config-file /config/openvpn/myexpressdc.ovpn 
set interfaces openvpn vtun1 description 'DC OpenVPN VPN tunnel'  
commit  


# 2 Route the appropriate devices though the related VPN tunnels  
set service nat rule 5000 description 'OpenVPN UK Clients' 
set service nat rule 5000 log disable 
set service nat rule 5000 outbound-interface vtun0 
set service nat rule 5000 source address 192.168.5.0/24 
set service nat rule 5000 type masquerade  
set service nat rule 5001 description 'OpenVPN DC Clients' 
set service nat rule 5001 log disable 
set service nat rule 5001 outbound-interface vtun1 
set service nat rule 5001 source address 192.168.10.0/24 
set service nat rule 5001 type masquerade   
set service nat rule 5002 description 'All other clients' 
set service nat rule 5002 log disable 
set service nat rule 5002 outbound-interface eth0 
set service nat rule 5002 source address 192.168.2.0/24 
set service nat rule 5002 type masquerade   


# 3 Create a static route using interface vtun0 as next-hop:    
set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface vtun0 
set protocols static table 2 interface-route 0.0.0.0/0 next-hop-interface vtun1  
commit   


# 4 Create a firewall modify rule for each host you want to route through the Open VPN tunnel.   
set firewall modify EXPRESSVPN-UK rule 10 description 'Route UK VPN network to vtun0' 
set firewall modify EXPRESSVPN-UK rule 10 source address 192.168.5.0/24 
set firewall modify EXPRESSVPN-UK rule 10 modify table 1  
set firewall modify EXPRESSVPN-DC rule 20 description 'Route DC VPN Network - to vtun1' 
set firewall modify EXPRESSVPN-DC rule 20 source address 192.168.10.0/24 
set firewall modify EXPRESSVPN-DC rule 20 modify table 2
set firewall source-validation disable  
commit   


# 5 Apply the firewall modify rule "in" to your LAN interface.   
set interfaces ethernet eth1 vif 10 firewall in modify EXPRESSVPN-UK 
set interfaces ethernet eth1 vif 20 firewall in modify EXPRESSVPN-DC   
commit 
save 
exit

Alles anzeigen

Allerdings hab ich durch den Save-Befehl oder durch den Befehl "mca-ctrl -t dump-cfg" die Konfiguration in der config.boot stehen. Wie kann ich das wieder rückgängig machen?

Ich wollte mir mit dem Befehl mca-ctrl -t dump-cfg > config.txt die aktuelle Einstellungen anschauen und mit der json-Datei von mir vergleichen.

Wo befindet sich eigentlich die config.txt nach Ausführung des Befehls mca-ctrl -t dump-cfg > config.txt ?

Alles anzeigen

Im aktuellen Verzeichnis: pwd sollte es Dir anzeigen, falls Du es nicht kennen solltest.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

.json-Konfiguration für DNS-Server (PI-hole + Unbound) und VPN-Verbindung für VLAN gleichzeitig

Tags

3 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 101

Wer war online 212