mimemmm
Goto Top

Pfsense: Wie ist die Priorität von OpenVPN Interfaces?

Ich nutze OpenVPN auf meiner Pfsense Firewall: Ich habe einen VPN-Client zu NordVPN eingerichtet, sowie einen VPN-Server um mobile Geräte mit meinem Netzwerk zu verbinden (Remote Access). Unter "Firewall rules" habe ich nun 2 neue Interfaces "OpenVPN" und "Nordvpn". Für NordVPN habe ich natürlich eine "block all" Regel. Allerdings muss ich für "OpenVPN" eine "pass all" anlegen, damit die mobilen Geräte ins Netzwerk dürfen. In welcher Reihenfolge werden die Interface "abgearbeitet", wenn eine Verbindung aus dem "NordVPN" Netz eingeht? Wird zuerst die "block all" oder die "allow all" angewendet? Letzteres wäre eher ungünstig, weil dann das ganze Internet zu gast wäre. Habe ich ein Problem?

Content-ID: 4874876928

Url: https://administrator.de/forum/pfsense-wie-ist-die-prioritaet-von-openvpn-interfaces-4874876928.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 06.12.2022 um 15:43:07 Uhr
Goto Top
Moin,

die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.

Das Thema der FW Regeln gestaltet sich so, dass eingehender Traffic auf einem Interface mit dem Regelwerk von oben nach unten behandelt wird.

Bezüglich NordVPN wurde hier schon oft genug alles gesagt. Bringt dir keinen Mehrwert.

Gruß
Spirit
aqui
aqui 06.12.2022 aktualisiert um 16:15:58 Uhr
Goto Top
OpenVPN sollte man wegen der miesen Skalierbarkeit heute nicht mehr einsetzen.
Alles zum Thema NordVPN und solchen Gruselanbietern findest du in diesem Thread!

Wird zuerst die "block all" oder die "allow all" angewendet?
Die Frage stellt sich gar nicht bzw. zeigt das du das regelwerk nicht verstanden hast.
  • pfSense hat nur inbound regeln
  • Es gilt: Alles was nicht erlaubt ist, ist immer explizit verboten.
  • Es gilt immer: First match wins! Sprich, bei einem ersten positiven Hit im Regelwerk wird der Rest nicht mehr abgearbeitet. Die Reihenfolge des Regelwerkes ist also essentiell wichtig!
Guckst du auch hier in den weiterführenden Links.
Mimemmm
Mimemmm 06.12.2022 um 16:12:25 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.

Die Route meines Pfsense ist doch nur für ausgehenden Datenverkehr relevant oder? Meine Frage ist ob der WAN Traffic auf dem Interface "OpenVPN" oder "NordVPN" ankommen wird. Beide Interface sind bereits aufgetaucht, als ich den Nordvpn Client angelegt habe und bevor ich den VPN Server konfiguriert habe.
aqui
aqui 06.12.2022 aktualisiert um 16:18:46 Uhr
Goto Top
Meine Frage ist ob der WAN Traffic auf dem Interface "OpenVPN" oder "NordVPN" ankommen wird.
Was da ankommt oder nicht ist abhängig von deiner OpenVPN Konfig ob du ein Split Tunneling oder ein Gateway Redirect fährst.
Was das ist und wie es aufgesetzt wird erklärt dir das hiesige OpenVPN Tutorial.
Ansonsten ist die Paket Capture Funktion unter Diagnostics dein bester Freund wenn du es ganz genau wissen willst.
Mimemmm
Mimemmm 06.12.2022 um 17:33:11 Uhr
Goto Top
Das betrifft doch aber wieder nur Ausgehende und keinen eingehenden traffic?
Spirit-of-Eli
Spirit-of-Eli 06.12.2022 um 18:20:16 Uhr
Goto Top
Zitat von @Mimemmm:

Das betrifft doch aber wieder nur Ausgehende und keinen eingehenden traffic?

Inbound = eingehend.
Das Regelwerk kontrolliert immer ausschließlich eingehenden Traffic auf einem Interface.