Anbindung Home-Office VPN PfSense nur bestimmte Ports
Moin!
Ein Kunde möchte gerne einen Heimarbeitsplatz einrichten.
Ich plane, die Anbindung überVPN mit PfSense (oder OPNSense) am Standort und per FB remote zu machen.
Benötigt wird 1x IP-Telefonie (mit Hardware-Telefon) und RDP.
Dazu wird wohl ein Site2Site-VPN mit der FB nötig.
Aber: Um unnötigen Traffic (Angriffsszenarios von Smartphones /Gästen / einem infizierten Client etc.) auszuschliessen, möchte ich den Traffic auf dem IPSec-Interface der PfSense auf RDP und SIP/RTP der autorisierten Clients begrenzen.
Sollte doch gehen, oder? Rules setzen mit Client-IP's und Ports und Ruhe ist?
Oder habe ich was relevantes vergessen?
e mare libertas!
Buc
Ein Kunde möchte gerne einen Heimarbeitsplatz einrichten.
Ich plane, die Anbindung überVPN mit PfSense (oder OPNSense) am Standort und per FB remote zu machen.
Benötigt wird 1x IP-Telefonie (mit Hardware-Telefon) und RDP.
Dazu wird wohl ein Site2Site-VPN mit der FB nötig.
Aber: Um unnötigen Traffic (Angriffsszenarios von Smartphones /Gästen / einem infizierten Client etc.) auszuschliessen, möchte ich den Traffic auf dem IPSec-Interface der PfSense auf RDP und SIP/RTP der autorisierten Clients begrenzen.
Sollte doch gehen, oder? Rules setzen mit Client-IP's und Ports und Ruhe ist?
Oder habe ich was relevantes vergessen?
e mare libertas!
Buc
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 358227
Url: https://administrator.de/forum/anbindung-home-office-vpn-pfsense-nur-bestimmte-ports-358227.html
Ausgedruckt am: 26.04.2025 um 08:04 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Funktioniert so.
Ich empfehle auch noch ICMP mit log der autorisierten Clients zu erlauben.
Kann die Einrichtung bzw. Fehlersuche erleichtern.
CH
Funktioniert so.
Ich empfehle auch noch ICMP mit log der autorisierten Clients zu erlauben.
Kann die Einrichtung bzw. Fehlersuche erleichtern.
CH
Oder habe ich was relevantes vergessen?
Nein, hast du nicht ! Das ist der klassische (und richtige) Weg.Tip um das wasserdicht zu bekommen:
Richte für das Telefon und den RDP Rechner eine statische Mac zu IP Zuordnung auf der FB ein. Damit kannst du dann die VPN ACL auf der Firewall dichtziehen bis auf diese 2 Adressen die wirklich rübersollen. Wenn du im Layer 4 auch noch die Dienste festlegst und zusätzlich die Zieladressen kommt nichts anderes mehr rüber.
Ob man ICMP zulässt ist Geschmackssache. Spieler animiert sowas nur wenn sie irgendwo per Ping was finden. Besser also auch blocken wenn das VPN soweit rennt.
Danke!
