11
PFSense OpenVPN Server in bestehendem LAN - FW Rules greifen nicht
Guten Morgen,
kann mir jemand sagen, wieso die PFSense Regel unten nicht greift und die IP Adresse, 109.164.235.176, blockiert?
Hintergrund:
Mit dem pfBlockerNG Zusatzpaket möchte ich VPN Verbindungen nur von der Schweiz erlauben. Zuerst muss ich aber herausfinden, wieso die manuell blockierte IP Adresse oben, trotzdem zugelassen wird.
Danke und liebe Grüsse
kann mir jemand sagen, wieso die PFSense Regel unten nicht greift und die IP Adresse, 109.164.235.176, blockiert?
Hintergrund:
Mit dem pfBlockerNG Zusatzpaket möchte ich VPN Verbindungen nur von der Schweiz erlauben. Zuerst muss ich aber herausfinden, wieso die manuell blockierte IP Adresse oben, trotzdem zugelassen wird.
Danke und liebe Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4731999943
Url: https://administrator.de/contentid/4731999943
Printed on: April 20, 2024 at 00:04 o'clock
11 Comments
Latest comment
Moin,
deine Problem besteht in der Art des Regel Konstrukts einer Sense.
Auf einem Interface weder durch die Regeln dort eingehende Pakete behandelt. Du hast allerdings Regeln für ausgehenden Verkehr auf die LAN Seite gepackt.
Da du auf eine öffentliche Source IP filtern willst, muss diese Regel auf das WAN Interface verschoben werden. Dann funktioniert das auch.
Beachte das NAT am WAN Interface. Folglich muss die destination der Rule "any" lauten. Genau könntest du dies auch direkt an der Portforwarding Rule mit eintragen. Also kannst du alles in der Portforwarding Rule zusammen fassen wenn der Trafficbauf interne Ressourcen Zielt. Willst du hingegen den Zugriff auf OpenVPN der Sense auf eine Source beschränken, muss die Rule definitiv auf dem WAN Interface wie von mir beschrieben angelegt werden.
Gruß
Spirit
deine Problem besteht in der Art des Regel Konstrukts einer Sense.
Auf einem Interface weder durch die Regeln dort eingehende Pakete behandelt. Du hast allerdings Regeln für ausgehenden Verkehr auf die LAN Seite gepackt.
Da du auf eine öffentliche Source IP filtern willst, muss diese Regel auf das WAN Interface verschoben werden. Dann funktioniert das auch.
Beachte das NAT am WAN Interface. Folglich muss die destination der Rule "any" lauten. Genau könntest du dies auch direkt an der Portforwarding Rule mit eintragen. Also kannst du alles in der Portforwarding Rule zusammen fassen wenn der Trafficbauf interne Ressourcen Zielt. Willst du hingegen den Zugriff auf OpenVPN der Sense auf eine Source beschränken, muss die Rule definitiv auf dem WAN Interface wie von mir beschrieben angelegt werden.
Gruß
Spirit
Hallo Spirit,
danke für die Antwort.
Ok, dann wird das wohl fast nicht möglich sein...
hmm.. das WAN Interface auf der Sense ist deaktiviert, da die Fritz!Box den Internetzugang macht. Wie in der Abbildung oben ersichtlich, ist bei der Sense nur das LAN Interface aktiviert. Die Sense ist quasi wie ein normaler Client im LAN anzusehen.
LG
danke für die Antwort.
Ok, dann wird das wohl fast nicht möglich sein...
hmm.. das WAN Interface auf der Sense ist deaktiviert, da die Fritz!Box den Internetzugang macht. Wie in der Abbildung oben ersichtlich, ist bei der Sense nur das LAN Interface aktiviert. Die Sense ist quasi wie ein normaler Client im LAN anzusehen.
LG
Achso, habe ich über sehen. Sorry.
Zeig mal die Logs gefiltert auf die Source Adresse.
Zeig mal die Logs gefiltert auf die Source Adresse.
Noch ein heisser Tip:
Wenn du das "+" Zeichen beim Einbetten von Grafiken und Screenshots in deinen Thread, wie in den FAQs beschrieben, richtig gesstzt hättest, hätte man den Screenshot auch im richtigen Kontext sehen und verstehen können statt nichtssagend am Ende des Threads!!
Der "Bearbeiten" Button lässt dich auch immer sowas nachträglich noch korrigieren so das es allen hilft! 😉
Deine Anforderung lässt sich auch mit einer einfachen Inbound Regel am WAN Port lösen.
Alles weitere dazu findest du sonst im Router Kaskaden Umfeld betrifft.
Noch ein VPN bezogener Tip:
Du solltest dir auch gut überlegen ob du wirklich das wenig skalierende und in der Performance eingeschränkte OpenVPN nutzt. Es erfordert zudem immer auch einen überflüssigen, externen VPN Client der nicht erforderlich ist und das VPN Management unnötig weiter erschwert. Oder wenn es unbedingt etwas Externes sein muss, dann auf das modernere Wireguard umzuschwenken.
Deutlich besser ist immer die eh vorhandenen onboard VPN Clients zu nutzen die in jedem OS und Endgerät immer mit dabei sind:
L2TP VPN:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IKEv2 VPN:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn du das "+" Zeichen beim Einbetten von Grafiken und Screenshots in deinen Thread, wie in den FAQs beschrieben, richtig gesstzt hättest, hätte man den Screenshot auch im richtigen Kontext sehen und verstehen können statt nichtssagend am Ende des Threads!!
Der "Bearbeiten" Button lässt dich auch immer sowas nachträglich noch korrigieren so das es allen hilft! 😉
Deine Anforderung lässt sich auch mit einer einfachen Inbound Regel am WAN Port lösen.
Alles weitere dazu findest du sonst im Router Kaskaden Umfeld betrifft.
Noch ein VPN bezogener Tip:
Du solltest dir auch gut überlegen ob du wirklich das wenig skalierende und in der Performance eingeschränkte OpenVPN nutzt. Es erfordert zudem immer auch einen überflüssigen, externen VPN Client der nicht erforderlich ist und das VPN Management unnötig weiter erschwert. Oder wenn es unbedingt etwas Externes sein muss, dann auf das modernere Wireguard umzuschwenken.
Deutlich besser ist immer die eh vorhandenen onboard VPN Clients zu nutzen die in jedem OS und Endgerät immer mit dabei sind:
L2TP VPN:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IKEv2 VPN:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hallo,
bitte um Info um die Logs unten genügen oder ob ich noch andere geben darf?
bitte um Info um die Logs unten genügen oder ob ich noch andere geben darf?
14:39:31.597492 c8:0e:14:0e:bf:ea > 02:11:32:27:9e:89, ethertype IPv4 (0x0800), length 66: (tos 0x2,ECT(0), ttl 119, id 27494, offset 0, flags [DF], proto TCP (6), length 52)
109.164.235.176.6585 > 192.168.75.2.1114: Flags [SEW], cksum 0xc2dc (correct), seq 114688443, win 8192, options [mss 1412,nop,wscale 8,nop,nop,sackOK], length 0
14:39:31.597614 02:11:32:27:9e:89 > c8:0e:14:0e:bf:ea, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
192.168.75.2.1114 > 109.164.235.176.6585: Flags [S.E], cksum 0xd2b1 (correct), seq 3595910217, ack 114688444, win 65228, options [mss 1460,nop,wscale 7,sackOK,eol], length 0
14:39:31.615080 c8:0e:14:0e:bf:ea > 02:11:32:27:9e:89, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 27495, offset 0, flags [DF], proto TCP (6), length 40)
109.164.235.176.6585 > 192.168.75.2.1114: Flags [.], cksum 0x108d (correct), seq 1, ack 1, win 259, length 0
Ich meine Die Logs von der Sense selbst:
Dort dann nach der Source Adresse filtern. Dann werden auch die betreffenden Regeln usw aufgelistet.
Dort dann nach der Source Adresse filtern. Dann werden auch die betreffenden Regeln usw aufgelistet.
Danke...
Bei mir ist dort nur IPv6 Verkehr drin:
Bei mir ist dort nur IPv6 Verkehr drin:
Hi,
erstelle eine Regel auf dem LAN Interface: Allow Source Any, Port UDP Any to Target Lan Interface UDP 1114 and log.
Setze die Regel an den Anfang, dann solltest du auch eingehende Verbindungen zum OpenVPN Server auf dem Lan Interface in den Logs sehen.
Gruß
CH
erstelle eine Regel auf dem LAN Interface: Allow Source Any, Port UDP Any to Target Lan Interface UDP 1114 and log.
Setze die Regel an den Anfang, dann solltest du auch eingehende Verbindungen zum OpenVPN Server auf dem Lan Interface in den Logs sehen.
Gruß
CH
Vielen Dank euch für die Kommentare.
Ich habe die Übung abgebrochen, da es wahrscheinlich gar nicht möglich ist.
Das Problem ist, dass derselbe Traffic In und Out geht auf dem LAN Interface. Das hat die Sense nicht gerne, respektive macht dann gar keine Filterung. Darum greifen die Firewall Regeln gar nicht und ich sehe auch nichts in den System Logs.
Ich müsste wohl ein zweites LAN aufbauen und die FritzBox dann über das WAN verbinden..
Liebe Grüsse,
Seth
Ich habe die Übung abgebrochen, da es wahrscheinlich gar nicht möglich ist.
Das Problem ist, dass derselbe Traffic In und Out geht auf dem LAN Interface. Das hat die Sense nicht gerne, respektive macht dann gar keine Filterung. Darum greifen die Firewall Regeln gar nicht und ich sehe auch nichts in den System Logs.
Ich müsste wohl ein zweites LAN aufbauen und die FritzBox dann über das WAN verbinden..
Liebe Grüsse,
Seth
Das hat sie schon ganz gerne wenn man ihr das auch sagt: 😉
Eine simple inbound Regel reicht um alle OpenVPN Absender IPs aus CH zu blocken. Unverständlich warum du dich da so schwer tust...aber egal.
Deine o.a. Regel am LAN Port ist auch völlig sinnfrei. Kollege @ChriBo hat es oben schon gesagt.
Die Explicit Default Regel der Firewall ist ja immer ein Deny Any Any, sprich also Firewall üblich das alles verboten ist was nicht ausdrücklich erlaubt ist. Auch wenn man nix einträgt. Das inkludiert dann eh deine Block 109.164... Regel die damit dann völlig obsolet ist. Wozu also nochmal etwas zusätzlich verbieten was eh schon verboten ist? Ein Blick ins Firewall Log hätte dir hier auch sofort gesagt was los ist.
Gemäß deines o.a. Screenshots blockt dein LAN Interface alles an eingehendem Traffic mit der einzigen Ausnahme von Port TCP 40 und 443 Traffic direkt auf die FW LAN Adresse. Also lediglich HTTP und HTTPS Traffic kann den LAN Port erreichen, mehr nicht.
Damit ist der LAN Port dann komplett geblockt für jeglichen anderen Traffic...inklusive deines OpenVPN Traffics.
Vielleicht solltest du erstmal ganz in Ruhe und entspannt nochmals dein Regelwerk überdenken bevor du vorschnell die Flinte ins Korn schmeisst. 😉
Und am besten auch die Sinnhaftigkeit von OpenVPN als VPN Protokoll!!
Deine o.a. Regel am LAN Port ist auch völlig sinnfrei. Kollege @ChriBo hat es oben schon gesagt.
Die Explicit Default Regel der Firewall ist ja immer ein Deny Any Any, sprich also Firewall üblich das alles verboten ist was nicht ausdrücklich erlaubt ist. Auch wenn man nix einträgt. Das inkludiert dann eh deine Block 109.164... Regel die damit dann völlig obsolet ist. Wozu also nochmal etwas zusätzlich verbieten was eh schon verboten ist? Ein Blick ins Firewall Log hätte dir hier auch sofort gesagt was los ist.
Gemäß deines o.a. Screenshots blockt dein LAN Interface alles an eingehendem Traffic mit der einzigen Ausnahme von Port TCP 40 und 443 Traffic direkt auf die FW LAN Adresse. Also lediglich HTTP und HTTPS Traffic kann den LAN Port erreichen, mehr nicht.
Damit ist der LAN Port dann komplett geblockt für jeglichen anderen Traffic...inklusive deines OpenVPN Traffics.
Vielleicht solltest du erstmal ganz in Ruhe und entspannt nochmals dein Regelwerk überdenken bevor du vorschnell die Flinte ins Korn schmeisst. 😉
Und am besten auch die Sinnhaftigkeit von OpenVPN als VPN Protokoll!!
Du liegst falsch aqui.
Bitte zuerst mein Szenario nachbauen und testen bevor du so vorschnell die Flinte ins Korn schmeisst ;)
Bitte dieses Thread schliessen und für weitere Kommentare sperren - Danke
Bitte zuerst mein Szenario nachbauen und testen bevor du so vorschnell die Flinte ins Korn schmeisst ;)
Bitte dieses Thread schliessen und für weitere Kommentare sperren - Danke
