IPSec Firewallfrage

[theq86]

Ich habe 2 Sensen. Beide gegenseitig mit IPSec eingerichtet. Ist es normal, dass die Connection klappt, obwohl auf keiner Sense an den WANs (wo die äußeren Verbindungen aufgebaut werden) Regeln für ESP, ISAKMP und NAT-T existieren?

[micneu]

Wie sind die den angebunden, vdsl?
Oder ist das ein test Netz?
Bitte mehr Informationen wie dieweil die Netze aufgebaut sind, gerne mit einem Bild


Gesendet von iPhone mit Tapatalk Pro

[theq86]

Die Sense A ist ein vServer mit statischer IP, Sense B geht über VDSL mit dynamischer IP ins Netz.

In A ist bei IPSec die Remote Adresse mit der dyndns Adresse von B konfiguriert, sowie der Haken bei dynamic gateway gesetzt.

Beide Sensen machen IPsec über ihre WAN Interfaces. Was mich jetzt stört oder zumindest wundert ist, dass die IPSec Verbindung und die Tunnel funktionieren, obwohl in der Firewall weder bei A, noch bei B die nötigen Allow-Regeln gesetzt wurden für ESP, ISAKMP (UDP/500) und NAT-T (UDP/4500)

Es ist so, als würde der Fakt, dass ein IPSec eingerichtet ist automatisch Firewallregeln erstellen, die die Verbindung zulassen.

[theq86]

Sorry, ich will da noch mal nachhaken, weil mir das keine Ruhe lässt.
Werden tatsächlich automatische Firewallregeln für IPSec angelegt, wenn es aktiviert ist? Denn ansonsten läuft gewaltig was schief bei mir.

[JeGr]

Laut Doku muss man die selbst vornehmen, bei pfSense wird es automatisch gemacht, daher bin ich mir unschlüssig was der aktuelle Stand bei 19.1/19.7 ist.

[theq86]

Wie ich gerade erfuhr werden automatische Firewallregeln gesetzt. Es gibt auch eine Option dies zu deaktivieren. Standardmäßig scheint die Option allerdings aktiv zu sein. Ab 19.7 werden diese automatisch angelegten Regeln im Bereich Firewall auch sichtbar sein. Die Dokumentation sollte dann einfach mal aktualisiert werden. Das werd ich nach dem Release einfach mit nem PR gegen die Doku anstoßen.

https://github.com/opnsense/core/issues/3572