Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Openvpn bestimmter Zugriff

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 2 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hdfan
      last edited by

      Hallo allerseits.

      Ich betreibe erfolgreich zwei Pfsene mit Openvpn.

      Tunnel etc. funktioniert tadellos.

      Ich habe im Moment zwei Openvpn Server laufen.

      Site-To-Site mit Pfsense Standort A und Standort B.

      • Nochmal auf der Pfsense (A) eine Openvpn Server für externen Zugriff aufs Lan im Standort A.

      Wie kann ich bei der zweiten VPN-konfiguration auf Pfsense A den Zugriff im Lan begrenzen. Damit man vom Handy nicht auf jede IP-Adresse im Standort A kommt?

      Ich habe jetzt schon stunden verbraten und komme nicht weiter…

      danke vielmals.

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo!

        @hdfan:

        Wie kann ich bei der zweiten VPN-konfiguration auf Pfsense A den Zugriff im Lan begrenzen. Damit man vom Handy nicht auf jede IP-Adresse im Standort A kommt?

        Ich habe jetzt schon stunden verbraten und komme nicht weiter…

        Ähm. Wir sprechen hier von einer Firewall, die primäre Funktion von pfSense.

        Mit einer Firewall-Regel natürlich.
        Vermutlich hast du den OpenVPN-Wizard verwendet, um den Access-Server einzurichten. Dieser erstellt am OpenVPN-Interface eine Regel, die jeglichen Zugriff auf alles erlaubt.

        Diese Regel könnte man entsprechend anpassen. Best practice wäre aber in diesem Fall, erst jeder VPN-Instanz auf Site A ein eigenes Interface zuzuweisen, wenn das noch nicht geschehen ist, damit sich keine Pakete verlaufen.
        Dazu gehe auf Interfaces > assign, wähle unter "available network ports" die VPN Instanz (Bsp. ovpnc1, ovpns1; wenn du der VPN-Instanz eine Beschreibung verpasst hast, taucht diese hier auch auf), klicke auf Add und dann auf das neue Interface, einen Haken noch bei Enable setzen und einen treffenden Namen vergeben und die Sache speichern. Selbiges für die 2. OVPN-Instanz.

        Danach erscheinen die beiden Interfaces auch in Firewall > Rules, wo du schön getrennt die Regeln setzen kannst und dann als Source auch any verwenden kannt, ohne dass es sich auf die andere VPN auswirkt.
        Wenn du Zugriff auf eine nicht zusammenhängende Reihe von IP Adressen erlauben möchtest, packe diese erst in einen Alias (Firewall > Aliases > IP) und verwende diesen als Ziel in der Regel.
        Wenn du über die VPN auch ins Internet möchtest, wird es etwas komplizierter.
        Die Standard-Allow-any Regel am OpenVPN Interface muss gelöscht werden, denn diese würde immer noch zutreffen und alles erlauben.

        1 Reply Last reply Reply Quote 0
        • H
          hdfan
          last edited by

          @viragomann:

          Hallo!

          Dazu gehe auf Interfaces > assign, wähle unter "available network ports" die VPN Instanz (Bsp. ovpnc1, ovpns1; wenn du der VPN-Instanz eine Beschreibung verpasst hast, taucht diese hier auch auf), klicke auf Add und dann auf das neue Interface, einen Haken noch bei Enable setzen und einen treffenden Namen vergeben und die Sache speichern. Selbiges für die 2. OVPN-Instanz.

          Hallo viragomann

          herzlichen Dank für den Tipp!
          Genau das habe gesucht, weil ich wollte ja die Regeln erstellen aber konnte nicht genau bestimmen welchen VPN es betrifft.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.