6
Pfsense: Wie ist die Priorität von OpenVPN Interfaces?
Ich nutze OpenVPN auf meiner Pfsense Firewall: Ich habe einen VPN-Client zu NordVPN eingerichtet, sowie einen VPN-Server um mobile Geräte mit meinem Netzwerk zu verbinden (Remote Access). Unter "Firewall rules" habe ich nun 2 neue Interfaces "OpenVPN" und "Nordvpn". Für NordVPN habe ich natürlich eine "block all" Regel. Allerdings muss ich für "OpenVPN" eine "pass all" anlegen, damit die mobilen Geräte ins Netzwerk dürfen. In welcher Reihenfolge werden die Interface "abgearbeitet", wenn eine Verbindung aus dem "NordVPN" Netz eingeht? Wird zuerst die "block all" oder die "allow all" angewendet? Letzteres wäre eher ungünstig, weil dann das ganze Internet zu gast wäre. Habe ich ein Problem?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4874876928
Url: https://administrator.de/contentid/4874876928
Printed on: April 28, 2024 at 06:04 o'clock
6 Comments
Latest comment
Moin,
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Das Thema der FW Regeln gestaltet sich so, dass eingehender Traffic auf einem Interface mit dem Regelwerk von oben nach unten behandelt wird.
Bezüglich NordVPN wurde hier schon oft genug alles gesagt. Bringt dir keinen Mehrwert.
Gruß
Spirit
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Das Thema der FW Regeln gestaltet sich so, dass eingehender Traffic auf einem Interface mit dem Regelwerk von oben nach unten behandelt wird.
Bezüglich NordVPN wurde hier schon oft genug alles gesagt. Bringt dir keinen Mehrwert.
Gruß
Spirit
OpenVPN sollte man wegen der miesen Skalierbarkeit heute nicht mehr einsetzen.
Alles zum Thema NordVPN und solchen Gruselanbietern findest du in diesem Thread!
Alles zum Thema NordVPN und solchen Gruselanbietern findest du in diesem Thread!
Wird zuerst die "block all" oder die "allow all" angewendet?
Die Frage stellt sich gar nicht bzw. zeigt das du das regelwerk nicht verstanden hast.- pfSense hat nur inbound regeln
- Es gilt: Alles was nicht erlaubt ist, ist immer explizit verboten.
- Es gilt immer: First match wins! Sprich, bei einem ersten positiven Hit im Regelwerk wird der Rest nicht mehr abgearbeitet. Die Reihenfolge des Regelwerkes ist also essentiell wichtig!
Zitat von @Spirit-of-Eli:
Moin,
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Die Route meines Pfsense ist doch nur für ausgehenden Datenverkehr relevant oder? Meine Frage ist ob der WAN Traffic auf dem Interface "OpenVPN" oder "NordVPN" ankommen wird. Beide Interface sind bereits aufgetaucht, als ich den Nordvpn Client angelegt habe und bevor ich den VPN Server konfiguriert habe.Moin,
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Meine Frage ist ob der WAN Traffic auf dem Interface "OpenVPN" oder "NordVPN" ankommen wird.
Was da ankommt oder nicht ist abhängig von deiner OpenVPN Konfig ob du ein Split Tunneling oder ein Gateway Redirect fährst.Was das ist und wie es aufgesetzt wird erklärt dir das hiesige OpenVPN Tutorial.
Ansonsten ist die Paket Capture Funktion unter Diagnostics dein bester Freund wenn du es ganz genau wissen willst.
1
Das betrifft doch aber wieder nur Ausgehende und keinen eingehenden traffic?
Inbound = eingehend.
Das Regelwerk kontrolliert immer ausschließlich eingehenden Traffic auf einem Interface.
