[Solved] Firewall-Regeln für's OpenVPN Interface

Started by Wayne Train, July 06, 2018, 11:40:02 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 06, 2018, 11:40:02 AM Last Edit: July 30, 2018, 09:19:08 AM by Wayne Train
Hi,
ich habe eine Verständnisfrage. Ich möchte den Zugriff über OpenVPN auf bestimmte interne Maschinen beschränken. Dazu habe ich alle in einen Alias gepackt und einen weiteren Alias angelegt, der die entsprechenden TCP-Destination-Ports beinhaltet. Als Source habe ich natürlich das OpenVPN-Netz angegeben. Der Zugriff funktioniert allerdings nicht. Läuft das anders, als bei anderen Interfaces ? Bei den Rules auf meinem LAN-Interface sage ich zum Beispiel "ihr dürft über TCP auf folgende Maschinen" und dort funktioniert das auch...
Oder wäre es vielleicht sinnvoller, den Tunnel so zu konfigurieren, dass die Clients direkt in ihr ensprechendes Netz gemappt werden, also ein Bereich im Netz, den vom DHCP auslasse... ? Ich meine damit, kein eigenes OpenVPN-Netz anzulegen, sonder über ein TAP-Interface, die Clients direkt in ihr Netz zu bridgen.
MFG
Wayne
July 19, 2018, 03:32:44 PM #1
Ohne dass du Details zu deiner Regel postest kann man hier ja schlecht sagen, was wo mit dem Alias falsch sein könnte.

Zudem sprichst du im zweiten Absatz von Tunnel, nicht von Einwahl VPN. Da ist dann auch die Source wohl kaum das OpenVPN Netz, sondern das Remote IP Netz/LAN der Gegenseite. Daher wäre es schön erstmal ein klares Bild zu bekommen.

Irgendwelche TAP Bridge Geschichten basteln, weil die Regeln falsch sind, ist der verkehrte Weg :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 19, 2018, 05:11:10 PM #2
Hi JeGr,

ich glaube wir reden aneinander vorbei. Auf meinem WAN läuft ein OpenVPN GW über das sich die Mitabreiter einwählen können. Sie bekommen dann eine 10.1.1.x/24 IP. Den Range 10.1.1.0/24 definiere ich dann in der OpenVPN-Zone der Firewall-Rules als Source und baue darauf basierend Regeln auf.

Also so zum Beispiel:

Code Select

Protocol        Source             Source-Port              Destination                 Destination-Port        Gateway
IPv4 TCP/UDP 10.1.1.0/24    *                     VPN_ACCESSIBLE_SERVERS VPN_DESTINATION_PORTS  *


Ich möchte quasi, dass die Maschinen aus dem 10.1.1.0/24 Netz (OpenVPN-Remote-Access) die Server, die unter "VPN_ACCESSIBLE_SERVERS" zusammengefasst sind, auf den Destination Ports "VPN_DESTINATION_PORTS" erreichen können.

Wird irgendwie verständlich, was ich meine ?

LG Wayne

July 20, 2018, 09:30:09 AM #3
Hey Wayne Train,

generell ist Deine Konfiguration bzw. Vorgehensweise korrekt. Hier scheint aus meiner Sicht einfach die Firewall Regel nicht zu greifen.
Zeigt der Firewall Log irgendwas an? Du könntest auch mal als Source das OpenVPN_net Objekt auswählen, und nicht manuell das Subnetz.

Gruß
Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose
July 20, 2018, 01:58:13 PM #4
Hi,
ist denn auch das Zielnetz für die OpenVPN Clients geroutet, sodass sie prinzipiell dahin kommen?
VPN -> OpenVPN -> Server -> xyz ->  IPv4 Local Network: dort müssen alle Netze eingetragen sein, die erreichbar sein müssen, zusätzlich zur Firewall Regel.
July 24, 2018, 10:08:19 AM #5
Hi CMU,
ja, die Netze sind alle hinterlegt. Das initiale Problem war auch, dass der Alias OpenVPN_net der OPN selbst irgendwie fritte ist und nicht funktioniert hat. Ich werde da gleich nochmal ein ANY ANY drauflegen, also alle bisherigen Rules droppen und dann slangsam zuziehen. Kann ja irgendwie nicht sein... Und auf den expliziten Netrange müsste es meiner Meinung nach ja schon irgendwie matchen.
MFG
Wayne
July 30, 2018, 09:17:23 AM #6
Hat sich erledigt. Ich hatte einen Typo in meinen NAT-Rules, die externe Netze durchs VPN verfügbar machen sollen.
Stelle das Ganze auf SOLVED.
MFG
Print
Go Up Pages1
User actions