Mar 27, 2020, updated at 09:41:58 (UTC)

4226

PFsense OPENVPN nur RDP zulassen

Hallo zusammen,

ich will folgendes konfigurieren:
Ich habe einige OPENVpn Cilents bei diesen funktioniert der Tunnel.

Nur folgendes, es geht derzeit der gesamte Internet Traffic der User über das Tunnelnetzwerk (10.0.8.0/24)
Eigentlich soll nur RDP über den Tunnel zugelassen werden und der Internetraffic der User über Ihr lokales Netz.

Wie kann ich das blockieren, ich probiere gerade und bringe es nicht hin.
... Zusatzinfo ich nutze nur eine Nic (WAN).

Danke für eure Tipps.

Please also mark the comments that contributed to the solution of the article

Content-Key: 561369

Url: https://administrator.de/contentid/561369

Printed on: April 19, 2024 at 22:04 o'clock

13 Comments

Latest comment

Wie kann ich das blockieren, ich probiere gerade und bringe es nicht hin.

In den Firewall Rules auf dem OVPN Interface lässt du als Absender nur das interne Tunnel IP Netz zu und als Empfänger dein lokales LAN wo der RDP Server steht mit dem Zielport TCP 3389.
Also:
PASS, Protocoll: TCP, Source: 10.0.8.0/24, Destination: 192.168.1.0 /24, Port: 3389
Aber Achtung !
Das lässt dann rein nur RDP zu !
Solltest du auch noch DNS usw. über den Tunnel machen scheitert dann ggf. ein RDP Aufbau. Dann musst du zusätzlich auch noch TCP/UDP 53 (DNS) erlauben !
Nochmal Achtung:
Das Regelwerk gilt natürlich nur dann wenn du rein nur remote User hast.
Machst du eine LAN zu LAN Kopplung (also 2 IP Netzwerke) über OpenVPN dann musst du auch noch das remote LAN dort im Regelwerk aufnehmen !
Leider machst du dazu aber keinerlei Angaben und wir können nhur raten.

Sieh einfach immer ins Firewall Log auf der pfSense ! Dort sagt sie dir doch genau WAS sie blockt und ob das relevant ist für deinen RDP Traffic !

Hallo,

ich hab grad keine pfSense zur hand aber nachdem die ja gleich sind zu der openSense,
schau mal ob du das Häckchen bei Redirect Gateway gesetzt hast ?

schau mal ob du das Häckchen bei Redirect Gateway gesetzt hast ?

Das wäre Blödsinn und ist auch erheblich kontraproduktiv !
Es sendet nämlich dann sämtlichen Traffic des Clients in den Tunnel und belastet diesen dann auch erheblich in der Performance mit reinem lokalen Internet Traffic.
Keiner will sowas in der Regel sondern immer nur Split Tunneling, also nur den Traffic in den VPN Tunnel der auch die remote Location betrifft.
Mit diesem technisch falschen Tip erweist man sich einen sinnfreien Bärendienst ! Zudem ist er keine Antwort auf die Frage des TO der ja spezifisch nur RDP Traffic filtern will und das obuge dafür völlig am Thema vorbei geht.

Siehe dazu auch hier:
Merkzettel: VPN Installation mit OpenVPN

Hallo aqui,

er schreibt ja das er den gesamten Traffic derzeit durch den Tunnel jagt

Nur folgendes, es geht derzeit der gesamte Internet Traffic der User über das Tunnelnetzwerk (10.0.8.0/24)

deswegen häckchen raus

er schreibt ja das er den gesamten Traffic derzeit durch den Tunnel jagt

Stimmt, du hast Recht. Ändert aber nix an der Tatsache das das bei VPN Nutzung ziemlich kontraproduktiv ist aus den o.a. Gründen !

häckchen raus

Was ist ein Häckchen ?
Eine kleine Gartenhacke für Kinder ??
https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
Oder doch ein Babyfuß ?
https://de.wikipedia.org/wiki/Ferse

Aber wenn du das "Häkchen" bei der vom TO dann falsch gemacht Default Gateway Redirect Konfig meinst, dann hast du natürlich vollends Recht ! Keine Frage...

Hm ich würde ja gerne meine Beitrag editieren aber da meckert er das die Änderungen zu umfangreich sind, wer ist denn mod vom diesem Bereich?

mmm...Ich habe als Zusatzinfo eh schon geschrieben das ich (ich weiß nicht optimal) nur eine Nic verwende und nur das Wan Netzwerk habe.
Das deaktivierten von "Redirect Gateway" blockiert mir RDP.

Deshalb vermute ich das ich das über Firewall Regeln lösen muss. Und da komme ich nicht hin.
Ich habe es noch nicht probiert aber wenn ich das 10... Netzwerk für HTTP(s) blockiere erreiche ich das was ich will oder sperre ich mich oder die User aus?

Wenn du das „Redirect Gateway“ rausbimmst, musst du natürlich das Routing richtig konfigurieren... Dann blockt da auch nix... (Sofern in der Firewall erlaubt)

Und da komme ich nicht hin.

Was meinst du damit ?

Genau da scheiterds vermutlich 🙄
Ich habe gerade etwas Betriebsblind Zeit

Ich finde die Ursache nicht was da blockt deshalb wäre ich dankbar für Tipps.

Zitat von @schicksal:
Genau da scheiterds vermutlich 🙄
Ich habe gerade etwas Betriebsblind Zeit

Okay, mal ganz von vorne... Es geht gerade nicht darum nur RDP über den Tunnel zuzulassen, sondern wir müssen mal etwas weiter vorne anfangen. Was über den Tunnel geht definiert man an Hand des Zielhosts/Zielnetzes. Also nimmst du bei deiner VPN-Config mal das Redirect-Gateway raus und schaust, dass die Routen für deinen / deine RDP-Server an die Clients gepusht werden.
Dann wird erstmal jeglicher Traffic, der zu deinem RDP-Host geht über den Tunnel geleitet, alles andere wird dann über die jeweilige Internet-Verbindung des Clients direkt ausgeleitet. Wenn das Setup steht, dann, aber auch erst dann, kannst du dir Gedanken machen, welchen Traffic du im Tunnel sperren willst.
Als Basis dafür kannst du auch gerne mal in die Anleitung von @aqui schauen: Merkzettel: VPN Installation mit OpenVPN
Da ist das alles top aufbereitet und es wird auf weiterführende Informationen verlinkt.

Viele Grüße

Danke Euch allen.
Danke BirdyB, genau so eine Stütze habe ich gesucht.
Auch Danke Aqui.

Es läuft jetzt so wie ich will.
Ich hatte einen Wurm in der Statischen Route.

Ich hatte einen Wurm in der Statischen Route.

Wohl eher ein PEBKAC Problem, oder ?

Vielleicht noch einmal die Routing_Grundlagen dazu nachlesen ?!
Aber gut wenn nun alles klappt wie es soll.

Case closed !

German solved Question Firewall Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment