Kurzbemerkung vorab: IP-Weiterleitung macht keinen Sinn: Man kann das SFP in jeden “anständigen” Switch stecken, das VLAN 10 entgegennehmen und an einen Router weiterleiten (oder man hat gleich einen Router mit SFP-Slot).
Ich habe genau dein Szenario (Neandertaler) gelöst - weil auch ich die Telefonie will; jedoch würde ich mir weiterhin die SIP-Daten wünschen…
Bevor du aber meine komplizierte Anleitung liest: Mit Double NAT würde das auch gehen, jedoch hätte man dann keine IPv6-Funktionalität…
Ich verwende für das ganze pfSense (192.168.1.2) und einen Layer3 Switch (192.168.1.254).
1. Als erstes habe ich beim SC-Router DHCP deaktiviert und bei pfSense den DHCP-Server aktiviert. Der DHCP-Server von pfSense setzt die Default Gateway auf 192.168.1.254 (Layer3-Switch) und sich selbst als DNS Server. (Wer keinen Layer3-Switch anschaffen will, kann auch pfSense als Default-Gateway über DHCP definieren)
2. Auf dem Layer-3 Switch hab ich dann festgelegt, dass aller Traffic nach 192.168.0.0/16 an 192.168.1.2 geroutet werden soll, 0.0.0.0/0 an 192.168.1.1
3. Auf dem Swisscom Router habe ich dann noch eingetragen, dass als DNS-Server 192.168.1.2 verwendet werden soll (weil sonst erhalte ich über IPv6 falsche DNS-Antworten)
4. Auf pfSense habe ich einen OpenVPN Server eingetragen (Gegenstelle dann Client)
5. Auf dem Swisscom Router (auf der OpenVPN Serverseite) die nötigen Ports auf die pfSense NAT-geforwarded.
Wichtig, natürlich dürfen nicht beide Seiten des VPN-Tunnels 192.168.1.0/24 als Netzwerkadresse haben
(Schlussbemerkung: Der gewiefte Profi wird sich an den durch den Layer3 Switch generierten ICMP redirects stören. Das lässt sich leider aber meines Erachtens nicht sinnvoll verhindern)
