OpenVPN Instance - Firewallregeln?

Started by fpausp, May 26, 2025, 09:49:09 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 26, 2025, 09:49:09 PM
Hallo Forum, ich würde gerne eine OpenVPN Instanz für meine User nutzen um Ihnen Remote-Zugriff auf bestimmte Server-Ports zu ermöglichen.

Ich habe zwei OpenVPN-Instanzen erstellt.
Die 1. läuft auf Port 1194 UDP und ist für Admins vorgesehen um auf alle Netze / Vlans zuzugreifen.
Die 2. Instanz läuft auf 1195 UDP und ist für Clients vorgesehen, sie sollen nur auf bestimmte Ports der Server zugreifen können.

Meine Subnetze: 192.168.70.0/24 (MGMT und SERVER), 192.168.71.0/24 (CLIENTS).

Kann mir bitte jemand ein Beispiel für eine Firewall-Regel nennen um einem VPN-Client den Zugriff auf einen Fileserver zu gestatten ohne ihn gleich ins komplette Subnetz (192.168.70.0/24) zu lassen?
May 26, 2025, 10:57:58 PM #1
Quote from: fpausp on May 26, 2025, 09:49:09 PMIch habe zwei OpenVPN-Instanzen erstellt.
Die 1. läuft auf Port 1194 UDP und ist für Admins vorgesehen um auf alle Netze / Vlans zuzugreifen.
Die 2. Instanz läuft auf 1195 UDP und ist für Clients vorgesehen, sie sollen nur auf bestimmte Ports der Server zugreifen können.
Wichtiger als die OpenVPN Ports wären hier die Tunnelsubnetze. Diese benötigst du ggf. als Quelle, um die Clients zu identifizieren.

Quote from: fpausp on May 26, 2025, 09:49:09 PMKann mir bitte jemand ein Beispiel für eine Firewall-Regel nennen um einem VPN-Client den Zugriff auf einen Fileserver zu gestatten ohne ihn gleich ins komplette Subnetz (192.168.70.0/24) zu lassen?
Mit "Fileserver" meinst du vermutlich eine Freigabe über SMB? Das wäre dann TCP Port 445.

Also bspw. VPN Clients Subnetz ist 10.0.16.0/24, der SMB Server 192.168.70.52. Dann wäre die Regel am OpenVPN Interface dafür
Prot = TCP, Quelle = Netzwerk 10.0.16.0/24, Quell-Port = any, Ziel = 192.168.70.52, Ziel-Port = 445

Bei den Regelsets gilt, dass die Regeln von oben nach unten geprüft werden. Trifft eine zu wird sie angewandt und die weiteren kommen nicht mehr zum Tragen.
Für das Zutreffen sind alle o.g. Parameter entscheidend. Treffen diese nicht zu, wird die nächste geprüft.
Hier ist dann Vorsicht geboten, weil eine nachfolgende Regel den Zugriff eventuell erlauben könnte. Wenn das Regelwerk komplex ist, empfiehlt es sich ggf., auch Block-Regeln zu erstellen.

Eine andere Herangehensweise, die ich gerne verwende, um die beiden VPN Instanzen sauber zu trennen, ist beiden ein Interface zuzuweisen. Dann bekommst du für jede Instanz einen eigenen Regel-Tab. Regeln die auf einem solchen Interface erstellt werden, gelten dann auch nur für die jeweilige Instanz, bspw. für Admins.
Am OpenVPN Tab musst du dann aber sämtliche Regeln entfernen. Dies ist eine Interface Gruppe für alle OpenVPN Instanzen, und Gruppen-Regeln haben Vorrang!
May 27, 2025, 09:35:05 PM #2
Hallo viragomann, danke für deine Erklärung! Ich denke ich habs jetzt mit der Variante der OpenVPN-Interface hinbekommen.
Die Zielnetze müssen alle als Lokale Netze in der jeweiligen OpenVPN-Instanz eingetragen sein damit das Routing funktioniert.

Werde morgen noch den Rest testen...
May 27, 2025, 11:45:54 PM #3
Ja, das veranlasst OpenVPN lediglich die Routen auf die Clients zu pushen, so dass das Client Programm die jeweiligen Routen am Client hinzufügt.
OpenVPN erlaubt damit aber nichts. Das muss mit Firewall-Regeln gemacht werden.
May 29, 2025, 11:16:34 AM #4
Danke!
Print
Go Up Pages1
User actions