[gelöst] Interface pro VPN-Tunnel möglich?



  • Hallo zusammen,

    ich habe ein paar VPN Tunnel (Clients + Servers) über OpenVPN an meiner pfSense (2.3.2-RELEASE-p1) terminieren.
    Nun suche ich nach einer Möglichkeit die Eingehenden Firewall Regeln pro VPN Tunnel festzulegen.
    Momentan kommen alle VPN Tunnel am Interface OpenVPN (Firewall/Rules/OpenVPN) an.
    Gibt es eine Möglichkeit diese getrennt pro VPN-Tunnel einzurichten? Vielleicht pro VPN-Tunnel ein separates Interface?

    So wie ich es verstanden habe, sind die zusätzlichen VPN-Interface die man unter Interfaces/ Interface Assignments hinzufügen kann nur für ausgehende Regeln gedacht.

    Danke vorab.

    Gruß
    Jerico



  • Hallo,

    da hast du was falsch verstanden, sehr falsch.
    An jedem der Interface Tabs in Firewall > Rules kannst du nur Regeln für eingehende Verbindungen definiren, das betrifft VPN- ebenso wie andere Interfaces. Regeln für ausgehenden Traffic kann man nur auf Floating Rules festlegen.

    Eigene Interfaces für OpenVPN Instanzen sind fürs Routing von ausgehenden Verbindungen interessant. Vielleicht kommt daher die Verwechslung.

    Du kannst also am OpenVPN Tab (= Interfacegruppe aller OpenVPN Instanzen) sämtliche Regeln für eingehenden Verbindungen anlegen. Du kannst hier unterschiedliche Regeln für jeden VPN Tunnel (Source = VPN Tunnel) anlegen. Von daher sehe ich also keine Notwendigkeit mehrere Interfaces einzurichten. Wie erwähnt, das ist wohl sinnvoll, wenn du Traffic auf eine VPN-Gegenstelle routen möchtest.

    Aber ja, du kannst für jede VPN Instanz ein Interface einrichten und die jeweiligen Regeln darauf definieren, wenn es dir so besser gefällt.
    Nachdem du das gemacht hast, schau dir sicherheithalber die Outbound NAT Regeln an. Ich weiß jetzt nicht, ob pfSense mit den Interfaces automatisch Regeln erstellt, die du vielleicht nicht haben möchtest.

    Grüße



  • Hi,

    danke erstmal für deine Antwort und die gute Erklärung.
    Das nur eingehende Regeln war mir eigentlich schon bewusst, aber ja du hast Recht, ich hatte vorher eine Anleitung gelesen wo es um den ausgehenden Traffic über das VPN Gateway ging sobald man das VPN Interface anlegt. Das hat mich wohl bisschen durcheinander gebracht.  ;D

    Ok. Das VPN Interface habe ich bereits für eine VPN Verbindung angelegt.
    Leider greifen aber die Regeln in dem neuen Interface nicht. Es gilt nach wie vor das was in "OpenVPN" als Regel definiert ist.

    Das neue Interface habe ich aktiviert.
    IP habe ich auf none gelassen.
    Der entsprechende VPN Service wurde neu gestartet.

    Eine Idee woran der Fehler liegen könnte?

    Danke & Gruß
    Jerico



  • Das Interface sollte okay sein, so wie du es eingerichtet hast.

    pfSense hat eine gute Dokumentation, die sich auf das Wesentliche beschränkt. Bezüglich der Anwendungsreiehenfolge der Firewall-Regeln kannst du hier nachlesen: https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
    Demnach werden erst Regeln an Interface-Gruppen und bei Nicht Zutreffen die Regeln an den Interface-Tabs angewandt.
    D.h. wenn du beides verwenden möchtest, Regeln an Interfaces und Regeln an Interface-Gruppen, die diese Interfaces einschließen, musst du die Regel an der Interface-Gruppe so einrichten, dass sie für das jeweilige Interface, dem du gesondert Regeln zuordnen willst, nicht zutreffen.

    Alternativ, wenn du für sämtliche VPN Instanzen Interfaces eingerichtet hast, kannst du die Regeln da definieren und alle von der Gruppe löschen.

    Grüße



  • Hey,

    danke, das war der entscheidende Tipp.
    Ich hatte in der OpenVPN Interface Gruppe eine Deny all Regel am Ende. (Ich weiß es ist nicht notwendig, aber ich leg die trotzdem immer an, damit ich den Deny Traffic sehe und irgendwie aus Gewohnheit ;D )
    Da diese natürlich immer gegriffen hat, ist die pfSense nie in das VPN Interface gesprungen.
    Nachdem ich diese nun entfernt hat, funktioniert alles perfekt.

    Danke dir.

    Gruß
    Jerico