[Solved] Firewall-Regeln für's OpenVPN Interface

[Wayne Train]

Hi,
ich habe eine Verständnisfrage. Ich möchte den Zugriff über OpenVPN auf bestimmte interne Maschinen beschränken. Dazu habe ich alle in einen Alias gepackt und einen weiteren Alias angelegt, der die entsprechenden TCP-Destination-Ports beinhaltet. Als Source habe ich natürlich das OpenVPN-Netz angegeben. Der Zugriff funktioniert allerdings nicht. Läuft das anders, als bei anderen Interfaces ? Bei den Rules auf meinem LAN-Interface sage ich zum Beispiel "ihr dürft über TCP auf folgende Maschinen" und dort funktioniert das auch...
Oder wäre es vielleicht sinnvoller, den Tunnel so zu konfigurieren, dass die Clients direkt in ihr ensprechendes Netz gemappt werden, also ein Bereich im Netz, den vom DHCP auslasse... ? Ich meine damit, kein eigenes OpenVPN-Netz anzulegen, sonder über ein TAP-Interface, die Clients direkt in ihr Netz zu bridgen.
MFG
Wayne

[JeGr]

Ohne dass du Details zu deiner Regel postest kann man hier ja schlecht sagen, was wo mit dem Alias falsch sein könnte.

Zudem sprichst du im zweiten Absatz von Tunnel, nicht von Einwahl VPN. Da ist dann auch die Source wohl kaum das OpenVPN Netz, sondern das Remote IP Netz/LAN der Gegenseite. Daher wäre es schön erstmal ein klares Bild zu bekommen.

Irgendwelche TAP Bridge Geschichten basteln, weil die Regeln falsch sind, ist der verkehrte Weg

[Wayne Train]

Hi JeGr,

ich glaube wir reden aneinander vorbei. Auf meinem WAN läuft ein OpenVPN GW über das sich die Mitabreiter einwählen können. Sie bekommen dann eine 10.1.1.x/24 IP. Den Range 10.1.1.0/24 definiere ich dann in der OpenVPN-Zone der Firewall-Rules als Source und baue darauf basierend Regeln auf.

Also so zum Beispiel:

Code: [Select]


Protocol        Source             Source-Port              Destination                 Destination-Port        Gateway
IPv4 TCP/UDP 10.1.1.0/24    *                     VPN_ACCESSIBLE_SERVERS VPN_DESTINATION_PORTS  *

Ich möchte quasi, dass die Maschinen aus dem 10.1.1.0/24 Netz (OpenVPN-Remote-Access) die Server, die unter "VPN_ACCESSIBLE_SERVERS" zusammengefasst sind, auf den Destination Ports "VPN_DESTINATION_PORTS" erreichen können.

Wird irgendwie verständlich, was ich meine ?

LG Wayne

[JasMan]

Hey Wayne Train,

generell ist Deine Konfiguration bzw. Vorgehensweise korrekt. Hier scheint aus meiner Sicht einfach die Firewall Regel nicht zu greifen.
Zeigt der Firewall Log irgendwas an? Du könntest auch mal als Source das OpenVPN_net Objekt auswählen, und nicht manuell das Subnetz.

Gruß
Jas

[c-mu]

Hi,
ist denn auch das Zielnetz für die OpenVPN Clients geroutet, sodass sie prinzipiell dahin kommen?
VPN -> OpenVPN -> Server -> xyz ->  IPv4 Local Network: dort müssen alle Netze eingetragen sein, die erreichbar sein müssen, zusätzlich zur Firewall Regel.

[Wayne Train]

Hi CMU,
ja, die Netze sind alle hinterlegt. Das initiale Problem war auch, dass der Alias OpenVPN_net der OPN selbst irgendwie fritte ist und nicht funktioniert hat. Ich werde da gleich nochmal ein ANY ANY drauflegen, also alle bisherigen Rules droppen und dann slangsam zuziehen. Kann ja irgendwie nicht sein... Und auf den expliziten Netrange müsste es meiner Meinung nach ja schon irgendwie matchen.
MFG
Wayne

[Wayne Train]

Hat sich erledigt. Ich hatte einen Typo in meinen NAT-Rules, die externe Netze durchs VPN verfügbar machen sollen.
Stelle das Ganze auf SOLVED.
MFG