先理清楚你当前的情况和之前踩的坑，再一步步给你讲正确的配置方法：

你的现有拓扑&现状 #

• 物理链路：光猫 → OPNSense（192.168.0.0/24）→ 二层管理交换机 → 普通LAN设备 + TP-Link路由器（192.168.1.0/24，已配置ExpressVPN，无线设备连它能正常走VPN）
• 你之前尝试把TP-Link的下游端口（UP2）和目标有线端口（LAN3、LAN5）划到同一个VLAN，但设备直接断网，这是因为端口角色和VLAN逻辑搞反了。

核心逻辑纠正 #

TP-Link作为VPN客户端路由器，它的WAN口要接入主网络（OPNSense的192.168.0.0/24），这样才能通过主路由上网并建立VPN；而它的LAN口要和你想走VPN的有线设备在同一个专属VLAN，这样这些设备才能从TP-Link获取IP、走VPN链路。

具体配置步骤（硬件+软件） #

1. 先调整硬件连接（如果之前接错的话）

• 把TP-Link的WAN口接到交换机上属于主VLAN（比如默认VLAN1）的端口（就是你说的LAN1），确保它能获取你之前设置的192.168.0.x静态IP，这一步你之前是对的。
• 把TP-Link的LAN口接到交换机的UP2端口，这个端口会作为VPN子网的入口。

2. 交换机VLAN配置

打开你的二层管理交换机后台，做以下设置：

• 新建一个专属VLAN，比如编号10，命名为「VPN_Group」。
• 端口模式设置：
  • 连接OPNSense的端口：设为Trunk模式，允许VLAN1（主子网）和VLAN10（VPN子网）通过（如果交换机支持，也可以直接允许所有VLAN）。
  • 连接TP-Link LAN口的UP2端口：设为Access模式，归属VLAN10。
  • 你想让走VPN的有线设备端口（LAN3、LAN5）：设为Access模式，归属VLAN10。
  • 其他普通LAN设备的端口：保持Access模式，归属VLAN1即可。

3. TP-Link路由器配置检查

• 确认TP-Link的LAN口DHCP服务是开启的，网段是192.168.1.0/24，这样VLAN10里的有线设备能自动获取这个网段的IP。
• 确认VPN客户端已经正常连接ExpressVPN（无线设备能正常用，这一步应该没问题）。
• 不需要额外设置TP-Link的防火墙，默认允许LAN口设备的上网请求。

4. OPNSense配置（可选，实现跨子网访问）

如果你需要让VPN子网的设备（192.168.1.0/24）能访问主子网（192.168.0.0/24）的设备（比如OPNSense管理界面、主子网里的NAS），或者反过来，要在OPNSense里加一条静态路由：

• 目标网络：192.168.1.0/24
• 网关：你给TP-Link WAN口设置的静态IP（比如192.168.0.100）
• 接口：选择连接交换机的LAN接口

5. 测试验证

• 把目标有线设备接到LAN3/LAN5，重启设备或者执行ipconfig /release + ipconfig /renew（Windows设备），检查IP是否是192.168.1.x段。
• 打开IP查询网站，确认当前IP是ExpressVPN的节点IP，说明VPN生效。
• 测试能否访问主子网的设备，不能的话检查OPNSense的静态路由是否正确。

为什么之前的配置会失败？ #

你之前把UP2（应该接TP-Link LAN口的端口）和LAN3/LAN5划到同一VLAN，但如果UP2接的是TP-Link的WAN口，那这个VLAN里的设备和TP-Link的WAN口在同一网段，设备会从OPNSense获取IP，网关还是OPNSense，根本不会走TP-Link的VPN，甚至可能因为VLAN的广播域冲突导致断网。

备注：内容来源于stack exchange，提问作者Nico