Hi,
ich möchte hier zwei Möglichkeiten aufzeigen wie ein VPN Anbieter genutzt werden kann um sein Traffic oder ein bestimmtes Traffic darüber zu routen.
Bei der ersten Variante werden wir dies ausschließlich mit einem UniFi Gateway (UDR/UDM-Pro/UDM-SE) machen. Bei dieser Variante ist mir persönlich aufgefallen, dass zum einen die Bandbreite nicht voll ausgenutzt wurde und zum weiteren falls es mal so sein sollte, dass die VPN Verbindung ausfällt, der Traffic über den eigenen Anschluss also IP ins Internet geht. Vielleicht sind hier weitere Optimierungen möglich um den einen oder anderen Punkt weiter zu verbessern. Näher habe mich damit nicht beschäftigt.
Bei der zweiten Variante nutze ich für die VPN Verbindung einen Mini-Router welcher einen Kill-Switch beinhaltet. Hierbei wird bei einem Fehler oder Unterbrechung der VPN-Verbindung sichergestellt, dass kein Traffic über dieses Netz läuft. Auf diese Weise ist sichergestellt, dass Traffic welcher ausschliesslich über die VPN-Verbindung geroutet werden soll nicht versehentlich über die eigenen IP ins Internet gelangt. Bei dieser Variante konnte ich einen viel höheren Durchsatz erreichen.
1. Variante
1.1. Als erstes erstellen wir uns ein neues Netz also ein VLAN um auf diesem Netz die Clients mit IP-Adressen zu versorgen welche das VPN-Gateway nutzen sollen. Das VLAN muss hierbei einen IP-Adressbereich hinterlegt bekommen damit sich die Clients auf diesem Netz anmelden und von diesem eine IP Adresse erhalten können.
1.2. Als zweitens erstellt ihr euch eine neue SSID wenn ihr für das obere Netz einen eigenen Zugang schaffen wollt. Falls ihr 802.1X nutzt könnt ihr die Zuweisung zum erstellten Netz auch darüber laufen lassen.
1.3. Für die VPN-Verbindung zu unserem Anbieter nach Wahl müssen wir unter den Einstellungen - Teleport & VPN einen VPN Client anmelden. Hier ist aktuell seitens UniFi ausschliesslich OpenVPN möglich. Besorgt euch dazu entsprechende Zugangsdaten bei eurem VPN Anbieter oder eine entsprechende Konfigurationsdatei. Wenn die Verbindung zum VPN-Anbieter steht bekommt ihr dies entsprechend angezeigt.
1.4. Danach erstellen wir unter Einstellungen - Traffic Management eine neue Route. Wir wählen den gesamte Traffic von unserem Target Netz also das erstellte Netz über welchen sich die Clients anmelden soll über das Interface unseres erstellten VPN-Anbieters laufen.
Als Grundlage für diese Vorgehensweise nutzte ich folgendes Video:
2. Variante
2.1. Wir erstellen wieder ein VLAN. Aber diesmal ein VLAN only, also ohne Gateway und IP-Adressbereich.
2.2. Hier erstellen wir wieder eine neue SSID oder nutzen unser vorhandene 802.1X Setup um in das erstellte VLAN zu kommen.
2.3. Nun nehmen wir beispielsweise einen GL-iNet Router welcher sich per VPN-Client sowohl über OpenVPN wie auch WireGuard bei den entsprechenden VPN-Anbietern anmelden kann. Der GL-iNet Router hat einen WAN und einen oder mehrere LAN Anschlüsse.
Den LAN Anschluss verbinden wir mit unserem erstellten VLAN only. Den WAN Anschluss schliessen wir an ein VLAN mit Gateway am UniFi. Gerne kann dazu auch ein Gästenetzwerk genommen werden.
2.4. Jetzt ist der GL-iNet Router unser VPN-Gateway. Durch den LAN Port kommen wir ins VPN-Gateway rein und durch den WAN Port raus zum VPN-Anbieter. Bei entsprechender Konfiguration vom GL-iNet Router lässt sich die Funktion Kill-Switch einrichten. Dadurch geht kein Traffic raus falls die VPN-Verbindung ausfällt.
Auf die Schnelle reicht euch evtl. die Anleitung. Ansonsten gerne Fragen stellen. Anhand der Fragen kann man die Anleitung verfeinern und evtl. mit Bildern ergänzen.
Viel Spass beim ausprobieren.
