IP Sec und die Regeln



  • Hallo zusammen,

    kann mir jemand sagen wie man am besten das Regelwerk für IPSec Verbindungen erstellt.

    Es gibt doch 2 Möglichkeiten oder?

    1.) Ich erstelle die eigentliche Regel auf dem LAN Reiter und sage auf dem IPSEC Reiter LAN -> VPN-Hosts .
    oder
    2.) Ich sage auf dem LAN Reiter LAN -> VPN-Hosts . und erstelle die Regel auf dem IPSec Reiter…..

    Was ist richtig..... es funktioniert beides :-))

    Danke schonmal
    lg Jürgen

    ups everything is in englis :-)

    ok here we go

    please help me to install a rule for ipsec traffic
    ithink there are two ways to do this

    1st: building a roule on LAN withe LAN-> IPSec . and building the main rule on  IPSec  LAN -> VPN Host Port 8827
    or
    2ndbuilding the main rule on LAN  LAN -> VPN Host Port 8827 an building a rule on IPsec LAN-> IPSec .

    Isn´t it?

    best regards Jürgen



  • Das kommt drauf an was du erlauben möchtest.
    Regeln muss ma nimmer erstellen auf dem Interface wo die Pakete eingehen.

    Kommt eine Anfrage aus dem IPSEC Tunnel ins Lan so musst du eine Regel auf dem IPSEC Interface anlegen.

    Will Jemand vom LAN in das IPSEC VPN musst du dafür eine Regel auf dem LAN Interface anlegen.



  • Hi,

    ja ok das ist mir klar bzw hast du es bestätigt :-) aber wenn ich eine Regel im LAN anlege dass jemand aus dem Lan auf einen bestimmten Server im VPN zugreifen darf, muss ich dann auch nochmal auf dem IPsec Reiter das Lan eintragen dass es zu dem Server im VPN darf?

    Weil das Paket kommt ja von LAN im IPsec an… oder denke ich zu kompliziert??



  • Wenn nur aus dem LAN auf einen Server im VPN zugeriffen werden soll brauchst du auch nur auf dem LAN Interface eine Regel.
    Eingehen tut das Paket auf dem LAN und geht auf dem IPSEC wieder raus.
    Also ist das eingehende Interface nur das LAN.

    Antwortpakete auf deine Anfrage werden dann autoamtisch durchgelassen.

    Also rein=LAN raus=IPSEC



  • super danke, das hat mir geholfen ..eine schlaues Ding die pfSense :-)))


  • Moderator

    Weil das Paket kommt ja von LAN im IPsec an… oder denke ich zu kompliziert??

    Nein du denkst etwas verquert ;)

    Kurze Faktenlage:

    1. pfSense checkt nur EINgehenden Traffic auf dem Interface auf dem er ANkommt.
    2. AUSgehender Traffic aus einem anderen Interface wird - weil das ja zusammengehört - automatisch erlaubt (pass out rule zur pass in rule)
    3. Ergo musst du immer betrachten, was du machen möchtest und aus welcher Richtung die Pakete AUF die pfSense zukommen. Kommt Traffic initial vom VPN, ist die Regel auf dem VPN Interface zu erlauben. Ist der Start dein LAN, ergo auf dem LAN Interface. Dass es von LAN nach IPSEC wandert ist irrelevant da -> siehe 2) -> pass out automatisch erfolgt. IPSec Interface Regeln beziehen sich also NUR auf initialen Traffic VOM VPN.
    4. Antwortpakete müssen nicht erlaubt werden, sie erzeugen (meisten) einen State der jede weitere zugehörige Verbindung erlaubt. Ergo keine Regel auf VPN IF erstellen nur weil man von LAN da zugreifen will -> stateful inspection regelt das.

    Gruß
    Jens