OPNsense OpenVPN Tutorial falsch?

Started by stefan21, March 24, 2017, 06:18:15 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 24, 2017, 06:18:15 PM Last Edit: March 24, 2017, 06:25:29 PM by stefan21
Kann es sein, dass das Tutorial Setup SSL VPN Roadwarrior https://docs.opnsense.org/manual/how-tos/sslvpn_client.html einen Fehler hat?

Im Step 2 ist bei den Firewall-Rules im OpenVPN-Interface als Source ein IP-Bereich (192.168.2.0/24) eingetragen, der nicht dem im Beispiel definierten Tunnel 10.10.0.0/24 entspricht.

Oder habe ich ein Verständnisproblem?

Danke für jede Rückinfo.

stefan
March 24, 2017, 06:26:58 PM #1 Last Edit: March 24, 2017, 06:37:07 PM by chemlud
Hi!

Ich habe nur Tunnel die ganze Netze verbinden (keine einzelnen Clients), aber in diese Firewall-Regel gehört das GAST-Netz/GAST-IP, nicht das lokale Netz als "Source".

Die Transportnetz-IP gehört da garnicht rein. Ich habe für Spezialfälle schon die Transportnetz-IP der Sense auf der anderen Seite des Tunnels gebraucht in Firewall-Regeln, aber definitiv nicht das ganze Transportnetz.

Da du diese IP bei einem Roadwarrior nicht kennst müsstest du * (alle) zulassen, oder?
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
March 24, 2017, 06:36:39 PM #2
Danke für die Rückantwort.

Im Beispiel ist definiert:

Company Network
Hostname    fw1
WAN IP    172.18.0.129
LAN IP    192.168.1.0/24
LAN DHCP Range    192.168.1.100-192.168.1.200
SSL VPN Clients    10.10.0.0/24

Nach meinem Verständnis ist das Gastnetz der Bereich der SSL VPN Clients. Also 10.10.0.0/24. Das müsste da m.E. rein. Die IP 192.168.2.0 ist doch ohne Bezug in dem Tutorial, oder?
March 24, 2017, 06:38:27 PM #3 Last Edit: March 24, 2017, 06:48:05 PM by chemlud
Wie schon geschrieben, 192.168.2.0/24 ist wohl das Gastnetz (vermutlich hatte der Autor eine Vorlage für site-to-site Tunnel und hat nicht richtig aufgepasst...) :-)

Vermutlich copy-n-paste hieraus

https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html

;-)

Wie oben geschrieben, das Transportnetz 10.... gehört nicht in die Firewall-Regeln, diese IP "sieht" m.E. die Firewall nicht.


PS: Obwohl... wie gesagt die Transportnetz-IP der entfernten Sense musste ich bei site-to-site auch manchmal verwenden, damit diese Sense durch den Tunnel senden konnte. Probiers doch mit dem Transportnetz, wenn's nicht geht nimm *... ;-)
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
March 24, 2017, 07:00:09 PM #4
Hmm, ich meine mich daran erinnern zu können, wenn man die automatische Erstellung der Regeln aktiviert, dann wird das Netz 10.10.0.0/24 eingetragen. Steht bei mir zumindest (mit meinem IP-Bereich) in der Echtumgebung so drin.

IPv4 *    10.0.10.0/24    *    *    *    *       OpenVPN IVB VPN Server wizard

Oder hab ich das mal manuell geändert? Weiss nicht mehr genau... Ich werde mal in einer VM das ganze nachspielen. Dann sieht man ja, was da rein muss...

stefan
Print
Go Up Pages1
User actions