6
Pfsense: Wie ist die Priorität von OpenVPN Interfaces?
Ich nutze OpenVPN auf meiner Pfsense Firewall: Ich habe einen VPN-Client zu NordVPN eingerichtet, sowie einen VPN-Server um mobile Geräte mit meinem Netzwerk zu verbinden (Remote Access). Unter "Firewall rules" habe ich nun 2 neue Interfaces "OpenVPN" und "Nordvpn". Für NordVPN habe ich natürlich eine "block all" Regel. Allerdings muss ich für "OpenVPN" eine "pass all" anlegen, damit die mobilen Geräte ins Netzwerk dürfen. In welcher Reihenfolge werden die Interface "abgearbeitet", wenn eine Verbindung aus dem "NordVPN" Netz eingeht? Wird zuerst die "block all" oder die "allow all" angewendet? Letzteres wäre eher ungünstig, weil dann das ganze Internet zu gast wäre. Habe ich ein Problem?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4874876928
Url: https://administrator.de/contentid/4874876928
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Das Thema der FW Regeln gestaltet sich so, dass eingehender Traffic auf einem Interface mit dem Regelwerk von oben nach unten behandelt wird.
Bezüglich NordVPN wurde hier schon oft genug alles gesagt. Bringt dir keinen Mehrwert.
Gruß
Spirit
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Das Thema der FW Regeln gestaltet sich so, dass eingehender Traffic auf einem Interface mit dem Regelwerk von oben nach unten behandelt wird.
Bezüglich NordVPN wurde hier schon oft genug alles gesagt. Bringt dir keinen Mehrwert.
Gruß
Spirit
OpenVPN sollte man wegen der miesen Skalierbarkeit heute nicht mehr einsetzen.
Alles zum Thema NordVPN und solchen Gruselanbietern findest du in diesem Thread!
Alles zum Thema NordVPN und solchen Gruselanbietern findest du in diesem Thread!
Wird zuerst die "block all" oder die "allow all" angewendet?
Die Frage stellt sich gar nicht bzw. zeigt das du das regelwerk nicht verstanden hast.- pfSense hat nur inbound regeln
- Es gilt: Alles was nicht erlaubt ist, ist immer explizit verboten.
- Es gilt immer: First match wins! Sprich, bei einem ersten positiven Hit im Regelwerk wird der Rest nicht mehr abgearbeitet. Die Reihenfolge des Regelwerkes ist also essentiell wichtig!
Zitat von @Spirit-of-Eli:
Moin,
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Die Route meines Pfsense ist doch nur für ausgehenden Datenverkehr relevant oder? Meine Frage ist ob der WAN Traffic auf dem Interface "OpenVPN" oder "NordVPN" ankommen wird. Beide Interface sind bereits aufgetaucht, als ich den Nordvpn Client angelegt habe und bevor ich den VPN Server konfiguriert habe.Moin,
die Frage der Interface prio kann sich nicht stellen da dies durch die Routing Table definiert ist. Lokale anliegende Netze werden bevorzugt behandelt.
Meine Frage ist ob der WAN Traffic auf dem Interface "OpenVPN" oder "NordVPN" ankommen wird.
Was da ankommt oder nicht ist abhängig von deiner OpenVPN Konfig ob du ein Split Tunneling oder ein Gateway Redirect fährst.Was das ist und wie es aufgesetzt wird erklärt dir das hiesige OpenVPN Tutorial.
Ansonsten ist die Paket Capture Funktion unter Diagnostics dein bester Freund wenn du es ganz genau wissen willst.
1
Das betrifft doch aber wieder nur Ausgehende und keinen eingehenden traffic?
Inbound = eingehend.
Das Regelwerk kontrolliert immer ausschließlich eingehenden Traffic auf einem Interface.
