VPN Tunnel Filtern

dexcs

Hallo Board,
ist folgendes möglich?

Einen Tunnel der 2 pfsense verbindet per VPN übers INET.
Beide pfsense haben Statische IP Adressen.
Von LAN1 soll ein Rechner (PC1) auf alle Rechner in LAN 2 zugriff haben.
Von LAN2 aus soll nur ein Rechner (PC2) auf einen Rechner (PC1) zugriff haben.
Und das ganze in den Firewalls eingestellt, so das man an den Cleints selbst nichts konfigurieren muss.

Ist sowas möglich, wenn ja wie?

Gruß Max

heiko

Hallo,
das sollte kein Problem sein. Ab der 1.2 Beta geht das sehr komfortabel. Bei der 1.01. geht das so nicht komplett.

Grundsätzlich: alles aus dem LAN raus, muss als Regelwerk auf dem LANtab unter Rules erstellt werden. Alles in das IPSEC rein, muss auf dem IPSEC TAB als Regelwerk eingestellt werden.

Grundsätzlich gibt es ja eine Pass ALL Regel, die dem PC1 aus dem LAN 1 sowieso den Zugriff auf alle anderen Rechnern hinter dem IPSEC des LAN´s 2 erlaubt. Auf dem LAN 2 -IPSEC TAB- muss der Zugriff natürlich erlaubt werden. Standardmäßig gibt es aber auch dort eine PERMIT ALL IPSEC Traffic Rule, die alles rein ins IPSEC erlaubt.

Du kannst/musst dir natürlich ein feineres Regelwerk erstellen, um die Zugriffe zu beschänken. Auf dem zweiten LAN (LAN2) erstellst Du z.B. Aliase für die bestimmten Rechner (statische IP aus dem DHCP nicht vergessen o.ä) und erstellst eine Regel für diesen Zugriff aus dem LAN2. Hier musst Du natürlich die Default pass all regeln entfernen, sonst hat der Rechner natürlich auch auf das gesamte LAN 1 Zugriff.

Ich denke, das sollte so hinhauen.
Gruß
heiko

dexcs

Das Problem ist, wie ich gerade im IRC geschrieben habe, ich habe unter Firewall->Rules kein IPSec Reiter?!? Das ist echt komisch, und zwar auf keinem meiner Firewalls….

heiko

1.01 kein reiter siehe mein posting