dasbrot
Goto Top

PFsense Wireguard RW Zugriff auf alle Netze verhindern

Pfsense 2.6.0
Wireguard Plugin 0.1.6_1
Wireguard Client auf Windows 11 0.5.3

Guten Tag.

Es geht um einen RW Wireguard Zugang.
Dieser funktioniert wie er soll, lässt sich jedoch all zu leicht überlisten.
Auf der PfSense in der peer Einstellung steht unter Allowed IP nur 192.168.40.0/24 und 10.10.58.112/32. letzteres ist der Client selbst.

Wenn ich im Client
AllowedIPs = 192.168.40.0/24
eintrage, macht er was er soll. Ich habe nur Zugriff auf das 40er Netz.

Wenn ich jedoch einfach mal im Client
AllowedIPs = 192.168.40.0/24, 128.0.0.0/1
eintrage habe ich Zugriff auf alle Netze welche die PFsense verwaltet.
Da ja jeder seinen Client bearbeiten kann, kann das so nicht gewollt sein.
Ich war der Meinung (ja ich weis das heist nichts) das die Netze auf denen ein Zugriff erlaubt ist eben im Peer unter Allowed IP eingetragen werden.
Ist das Verhalten noch dem Betastatus geschuldet (wie das händische Routing) oder habe ich etwas falsch gemacht ?

lg
Bernd

Content-ID: 2545893369

Url: https://administrator.de/forum/pfsense-wireguard-rw-zugriff-auf-alle-netze-verhindern-2545893369.html

Ausgedruckt am: 26.12.2024 um 03:12 Uhr

1915348599
Lösung 1915348599 20.04.2022 aktualisiert um 13:08:04 Uhr
Goto Top
Auf der PfSense in der peer Einstellung steht unter Allowed IP nur 192.168.40.0/24
Das ist natürlich Schwachfug denn von dieser IP kommt ja vom Client kein Traffic!
Ist das Verhalten noch dem Betastatus geschuldet (wie das händische Routing) oder habe ich etwas falsch gemacht ?
Nein, du hast das Cryptokey Routing nur falsch verstanden. Die AllowedIPs für den Peer in der Serverconfig legt nur fest an/von welchen IPs und Netze der Server verschlüsselten Traffic über den Tunnel annimmt und auch verschickt.
Auf der Client-Seite regeln die AllowedIPs was vom Client über den Tunnel geroutet wird.
Die AllowedIPs ersetzen also keineswegs Firewall-Regeln! Wenn du also Netze einschränken willst benutze die Firewall-Regeln der pfSense auf dem Wireguard-Interface und schränke die Benutzer damit auf ein einzelnes Subnetz ein!

screenshot
aqui
Lösung aqui 20.04.2022 aktualisiert um 13:10:21 Uhr
Goto Top
Simples Subnetting... face-wink 128.0.0.0/1 lässt im Tunnel alles passieren was zwischen 128.0.0.0 und 255.255.255.254 liegt. Inkludiert zumindestens dann alle deine 192.168er und alle 172er RFC 1918 IP Netze.
Firewall Regeln sind der Schlüssel zur Lösung wie der Kollege @1915348599 schon gesagt hat. Alles weitere steht im Wireguard Tutorial. Auch dein Fehler bei den Allowed IPs im Client.

Wenn du diese "Freiheit" des Cryptokey Routings nicht willst, dann installiere einfach ein L2TP basiertes VPN auf deiner pfSense !
Dort ist das routingtechnisch unmöglich und hat zudem den schönen Vorteil das du nicht mit zusätzlichen und überflüssigen VPN Clients und Konfig Dateien auf allen Endgeräten rumfrickeln musst, denn jedes Betriebssystem der Welt sowie Smartphone bringt von sich aus immer einen L2TP Client mit ! face-wink
Für RWs allemal einfacher und für dich erheblich leichter zu managen.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
DasBrot
DasBrot 20.04.2022 um 13:25:48 Uhr
Goto Top
Ok, macht Sinn.


Die Rules für die erstellten Netze (feste tunnel und rw )werden scheinbar garnicht genutzt. 0 bytes.
Nur die Regeln unter "Wireguard" global scheinen eine Rolle zu spielen.

Wenn ich dort jetzt die betreffende QuellIP aus dem Tunnelnetz mit Ziel der nicht erlaubten Netze blocke gehts. (bzw. keine Verbindung kommt zu stande wie gewünscht)
Diese quell IP steht aber auch nur unter Address Configuration im peer. Ich hoffe mal das man diese nicht auch nur im Client ändern muss. Aber davon gehe ich jetzt einfach mal aus.
Vielen Dank.
DasBrot
DasBrot 20.04.2022 aktualisiert um 13:43:54 Uhr
Goto Top
Was die allowed IPs angeht, so habe ich micht lediglich an Anleitungen gehalten.
Wenn ich diese im Client nicht eintrage funktioniert es auch nicht. Irgentetwas muss ich da ja eintragen.
Das ich mit 0.0.0.0 oder wie auch immer alles Route weis ich. Es ging um das einfache überlisten.
Im Client jetzt nur die 192.168.40.0 ein zu tragen halte ich jetzt nicht für einen Fehler. Wenn der Zugriff nicht via Peer geregelt wird ist das Serverseitig natürlich Blödsinn

Ja gerade von den Windows Bordmitteln will ich ja weg.
Wir haben bisher ipsec mit Windows 10 als RW genutzt. Leider immer wieder Probleme. Gefühlt bei jedem 5ten Windows Update. Und mit Windows 11 lief es dann von Anfang an nicht mehr. Warum dann nicht auf Wireguard setzen.
Das Wireguard tutorial scheint für Pfsense nicht so den fokus zu haben. Das hatten wir beide schon mal bezüglich das man keine Routen und Gateways erstellen müsse ;) Mittlerweile hast du dazu einen Beitrag verlinkt.

Momentan gibt es da in der aktuellen Version auch einige Probleme wenn vorher schon Routen bestanden. Die Gateways für die festen Tunnel müssen bleiben, die für RW dürfen nicht. Das Plugin muss mitunter mehrfach deinstalliert und installiert werden bis die Tunnel wieder hoch kommen. Es wird wohl noch stark am Plugin gearbeitet. Tut jetzt hier aber nix zur Sache.


Zitat von @aqui:

Simples Subnetting... face-wink 128.0.0.0/1 lässt im Tunnel alles passieren was zwischen 128.0.0.0 und 255.255.255.254 liegt. Inkludiert zumindestens dann alle deine 192.168er und alle 172er RFC 1918 IP Netze.
Firewall Regeln sind der Schlüssel zur Lösung wie der Kollege @1915348599 schon gesagt hat. Alles weitere steht im Wireguard Tutorial. Auch dein Fehler bei den Allowed IPs im Client.

Wenn du diese "Freiheit" des Cryptokey Routings nicht willst, dann installiere einfach ein L2TP basiertes VPN auf deiner pfSense !
Dort ist das routingtechnisch unmöglich und hat zudem den schönen Vorteil das du nicht mit zusätzlichen und überflüssigen VPN Clients und Konfig Dateien auf allen Endgeräten rumfrickeln musst, denn jedes Betriebssystem der Welt sowie Smartphone bringt von sich aus immer einen L2TP Client mit ! face-wink
Für RWs allemal einfacher und für dich erheblich leichter zu managen.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
aqui
aqui 20.04.2022 aktualisiert um 13:58:07 Uhr
Goto Top
Was die allowed IPs angeht, so habe ich micht lediglich an Anleitungen gehalten.
Scheinbar nicht, denn bei dir fehlt die IP des Servers ! face-sad (Siehe auch hier)
Korrekt am Client wäre: AllowedIPs = 10.10.58.1/32, 192.168.40.0/24
Ja gerade von den Windows Bordmitteln will ich ja weg.
Ist aber ziemlich unsinnig ?! Was sollte der Vorteil davon sein ? Die bequemen Optionen die du mit GPO und Scriptsteuerungen hast bietet dir kein externer Client. Von der Performance mal nicht zu reden. Aber egal...muss ja jeder selber wissen. face-wink
Gefühlt bei jedem 5ten Windows Update. Und mit Windows 11 lief es dann von Anfang an nicht mehr.
Das ist, wie immer, Unsinn und stimmt so nicht. Zeigt leider das du die Windows Patches und Release Notes nicht beachtest hast:
L2TP-IPSec Problem nach CU2022-01 (KB5009543)
https://support.microsoft.com/en-us/topic/january-17-2022-kb5010793-os-b ...
Und bei der IKEv2 Windows onboard Variante ganz besonders:
"Das Ändern in der Section VPN => Mobile Clients den Parameter Phase 2 PFS Group auf "off" hat nicht nur gebracht das die Verbindung unter Mac OS nach 8 Minuten nicht mehr unterbrochen wurde, es hat auch das Problem unter Windows 10 behoben das kein Verkehr mehr durch den Tunnel geschickt worden ist."

Beachtet man das im Setup und spielt den entsprechenden Windows Patch KB5010793 ein, rennt sowohl L2TP als auch das Zertifikats basierende IKEv2 völlig problemlos ohne jegliche Aussetzer. Und das sowohl für Windows 10 als auch für Windows 11 !! MacOS und alle Smartphones sowieso. Die beiden Tutorial weisen in rot mehrfach auf diesen Microsoft Patch hin.
DasBrot
DasBrot 28.04.2022 um 13:17:43 Uhr
Goto Top
Zitat von @aqui:

Was die allowed IPs angeht, so habe ich micht lediglich an Anleitungen gehalten.
Scheinbar nicht, denn bei dir fehlt die IP des Servers ! face-sad (Siehe auch hier)
Korrekt am Client wäre: AllowedIPs = 10.10.58.1/32, 192.168.40.0/24
Ja gerade von den Windows Bordmitteln will ich ja weg.
Ist aber ziemlich unsinnig ?! Was sollte der Vorteil davon sein ? Die bequemen Optionen die du mit GPO und Scriptsteuerungen hast bietet dir kein externer Client. Von der Performance mal nicht zu reden. Aber egal...muss ja jeder selber wissen. face-wink
Gefühlt bei jedem 5ten Windows Update. Und mit Windows 11 lief es dann von Anfang an nicht mehr.
Das ist, wie immer, Unsinn und stimmt so nicht. Zeigt leider das du die Windows Patches und Release Notes nicht beachtest hast:
L2TP-IPSec Problem nach CU2022-01 (KB5009543)
https://support.microsoft.com/en-us/topic/january-17-2022-kb5010793-os-b ...
Und bei der IKEv2 Windows onboard Variante ganz besonders:
"Das Ändern in der Section VPN => Mobile Clients den Parameter Phase 2 PFS Group auf "off" hat nicht nur gebracht das die Verbindung unter Mac OS nach 8 Minuten nicht mehr unterbrochen wurde, es hat auch das Problem unter Windows 10 behoben das kein Verkehr mehr durch den Tunnel geschickt worden ist."

Beachtet man das im Setup und spielt den entsprechenden Windows Patch KB5010793 ein, rennt sowohl L2TP als auch das Zertifikats basierende IKEv2 völlig problemlos ohne jegliche Aussetzer. Und das sowohl für Windows 10 als auch für Windows 11 !! MacOS und alle Smartphones sowieso. Die beiden Tutorial weisen in rot mehrfach auf diesen Microsoft Patch hin.

Ich weis das du vieles als Unsinn ansiehst. Das ist auch nicht schlimm, aber hilft nicht, wenn der tägliche Betrieb etwas anderes sagt.

Die Boardmittel laufen dauernd nicht. Mal lässt es sich aus der Taskleiste nicht aufrufen, und man muss zwanzig Leuten erklären wie sie zum VPN Reiter kommen weil es ein Update gab... mal garnicht. Aktuell bei all unseren Windows 11 Upgegradeten garnicht. Der Wireguard Client ist toll, klein. Und es fällt auch nicht alle 5 Minuten der Client weg wie bei ipsec.
Wie du geschrieben hast lässt sich das beheben. Aber dies nach 4 Jahren ergern... was geht als nächstes nicht. Noch dazu bedeutet dies ja das man an jedem Client herumfummeln muss, spezielle Patches einpflegen etc. Bei Wireguard ist das ein Winzig kleines Progrämmchen. Der Client selbst hat im Gegensatz zu ipsec Boardmtteln noch nie Probleme gemacht.
Serverseitig habe ich mit Pfsense noch Probleme. Hauptsächlich Routingprobleme. Hoffe diese aber mit Hilfe beheben zu können.
Eventuell kann ich der Gemeinschaft bezüglich größerer Telefonanlagen etwas zurückgeben.
DasBrot
DasBrot 28.04.2022 um 13:24:58 Uhr
Goto Top
Dieses Problem ist nun zumindest gelöst. Danke.

Nun zum nächsten ......