Switch benaderen via VPN (ACL?)

Ik ben bezig om op mijn werk het netwerk beetje bij beetje te verbouwen, maar ik loop nu tegen een probleem waar ik niet uit kan komen.

Wij hebben een PFsense als firewall, tevens wil ik hier OpenVPN op gaan gebruiken voor de VPN. Verder hebben wij voor verschillende dingen verschillende VLAN's in gebruik. Nu wil ik op afstand bij in ieder geval 2 vlans kunnen, en dit lukt ook mbv OpenVPN.

Het probleem waar ik tegen aan loop is dat ik voor de VPN tunnel een 172.16.0.x/24 range gebruik en wij intern alle netwerken op 10.0.y.x/24 hebben (VlanID is y).

Nu heb ik in vlan 10 o.a. de management interfaces hangen van verschillende servers (Xen/ESXi) en de management interface van de switches.

De Xen/ESXi server zijn prima via de VPN te bereiken. Maar ik krijg mijn switch niet via de VPN te pakken. En dit komt omdat ik op de switch de management interface heb in netwerk 10.0.10.x. En de switch accepteert alleen verkeer van dit netwerk.

Nu kan ik wel verschillende ACL's in de switch maken, maar ik heb nu verschillende dingen geprobeerd, maar dit eindigt vaak in een switch die niet meer benaderbaar is (vanaf geen enkel netwerk meer dan..).

Het gaat hier om een 3COM 4200G (manageble 48p gigabit).

Ik hoop dat er hier iemand is die mij verder kan helpen.

compjunkie schreef op vrijdag 17 april 2015 @ 10:03:
Doornatten van je 172 netwerk naar je 10.0.10.x netwerk?

Verder vind ik het wel apart dat de switch alleen verkeer accepteert vanuit dat subnet. Dan moet hij of geen gateway hebben, of er moet al een bestaande ACL op zitten lijkt me...

Dat met dat doornatten zou ik eens moeten kijken.

Hoe dat met die switch precies is weet ik niet, maar als ik die switch ook in een ander vlan wil bereiken, dan moet ik een extra "VLAN-Interface" maken in dat vlan en daar een passend adres bij geven.

compjunkie schreef op vrijdag 17 april 2015 @ 10:41:
Dan betwijfel is zeer of er wel een default gateway op staat. Zeker omdat je hem wel vanaf het vlan 10 netwerk kan bereiken, maar niet vanaf daarbuiten.

Kan je is proberen een static-route aan te maken naar de pfSense interface op het 10.0.10.x/24 lan?

ip route-static 0.0.0.0 0.0.0.0 x.x.x.x waarbij x staat voor het ip adres van de PfSense box.

Edit: Vergeet niet een backup van je config te maken in geval dat

en nu voel ik mij wel heel erg blond...

Ik heb hier wel naar gekeken, maar dacht van "dat zal het wel niet zijn".

Nu kan ik in ieder geval vanaf andere vlans bij dat ene ip komen, ipv dat ik meerdere vlan-interfaces moet maken (vanaf vlan's welke daar recht op hebben).

Maar nu heb ik volgens mij mijn openvpn gesloopt xD (maakt wel verbinding, maar kan geen enkel netwerk meer benaderen xD