Moin moin,
ich beschäftige mich schon sehr lange mit OPNsense und habe zahlreiche Geräte am laufen. Inkl. LTE Backup, VPN usw.
Eine frage Quält mich aber immer wieder, und scheinbar bin ich zu blöd zum Googeln :-)
Sobald ein openVPN eingerichtet wird. Gibt es ja in der Firewall das Interface "openVPN". Jedoch ist in sämtlichen Anleitungen immer zu lesen man soll für eine Site2Site oder Roadwarrior Verbindung ein eigenes Interface zuweisen.
Muss ich das? Welchen sinn hat das vom Systemangelegte Interface? Werden dort alle von openVPN verwaltete Verbindungen zusammen gefasst?
Vielen dank für den Denkanstoß.
Gruß
Moin,
das ist in den Docs zu Wireguard etwas detailierter beschrieben: https://docs.opnsense.org/manual/how-tos/wireguard-client.html
Step 5.
Ich habe beide Varianten im Einsatz, nur die Gruppe bei OVPN und einzelne Interfaces+Gruppe bei Wireguard.
Ich finde das Erstellen von FW Regeln bei einzelnen Interfaces übersichtlicher. Bei OVPN (nur die Gruppe) muss ich mehrere Subnetze/ Tunnel an dieser einen Stelle verwalten, bei WG (einzelne Interfaces) kann ich das schön geordnet für jedes Subnetz/ Tunnel separat machen und bei Bedarf trotzdem die Gruppe verwenden, wenn die Regel auf alle Tunnel zutreffen soll.
Huhu,
danke für den Link und dein Kommentar.
Also versteh ich es quasi richtig. Wenn ich pro VPN Verbindung ein Interface anlege, kann ich dort spezifische Rules rein packen. Wenn ich Rules habe die aber für alle Verbindungen gelten sollen dann könnte ich es statt in den Jeweiligen Interfaces auch in dem Interface "openVPN" machen?!
Naja Du kannst auch in der Gruppe entsprechende Regeln erstellen, mir geht es hier rein um die Übersichtlichkeit... So kann ich zB die Regeln für mein NAS-VPN separat zu dem Roadwarrior-VPN verwalten und habe nicht alles in einer Gruppe. Man kann sich quasi aussuchen, wo man die Regeln erstellen will.
> Sobald ein openVPN eingerichtet wird. Gibt es ja in der Firewall das Interface "openVPN". Jedoch ist in sämtlichen Anleitungen immer zu lesen man soll für eine Site2Site oder Roadwarrior Verbindung ein eigenes Interface zuweisen.
Also bei Roadwarrior finde ich das strittig, aber für S2S ist das ggf. durchaus sinnvoll. Je nachdem was man an Funktionalität braucht. Und gesehen an deinem anderen Topic bzgl. 1:1 NAT wäre das ein Punkt der hilfreich ist, denn dann hast du ein konkretes Interface statt dem OpenVPN Gruppeninterface auf dem du das NAT und die Regeln aufsetzen kannst.
Im Prinzip muss man darauf achten:
* OpenVPN ist ein GRUPPENinterface das ALLE OpenVPNs umfasst
* Gruppen-Regeln haben vorrang vor Einzelinterface Regeln
* Regel in Gruppe kann damit eine im Einzelnen Tab negieren (bspw. allow any auf OpenVPN -> keine Regel in zugewiesenem Interface wird mehr ausgeführt weil schon alles erlaubt wird)
* Leute vergessen gern bei OpenVPN Regelwerk die Source anzugeben. Benutzt man "any" und legt zusätzlich zu einem RAS Server noch nen Tunnel an (oder umgekehrt) haben plötzlich alle Vollzugriff was man ggf. nicht möchte
Daher ist es schon wichtig zu wissen, wer/wie/was/wo/warum :)
Cheers