Openvpn bestimmter Zugriff



  • Hallo allerseits.

    Ich betreibe erfolgreich zwei Pfsene mit Openvpn.

    Tunnel etc. funktioniert tadellos.

    Ich habe im Moment zwei Openvpn Server laufen.

    Site-To-Site mit Pfsense Standort A und Standort B.

    • Nochmal auf der Pfsense (A) eine Openvpn Server für externen Zugriff aufs Lan im Standort A.

    Wie kann ich bei der zweiten VPN-konfiguration auf Pfsense A den Zugriff im Lan begrenzen. Damit man vom Handy nicht auf jede IP-Adresse im Standort A kommt?

    Ich habe jetzt schon stunden verbraten und komme nicht weiter…

    danke vielmals.



  • Hallo!

    @hdfan:

    Wie kann ich bei der zweiten VPN-konfiguration auf Pfsense A den Zugriff im Lan begrenzen. Damit man vom Handy nicht auf jede IP-Adresse im Standort A kommt?

    Ich habe jetzt schon stunden verbraten und komme nicht weiter…

    Ähm. Wir sprechen hier von einer Firewall, die primäre Funktion von pfSense.

    Mit einer Firewall-Regel natürlich.
    Vermutlich hast du den OpenVPN-Wizard verwendet, um den Access-Server einzurichten. Dieser erstellt am OpenVPN-Interface eine Regel, die jeglichen Zugriff auf alles erlaubt.

    Diese Regel könnte man entsprechend anpassen. Best practice wäre aber in diesem Fall, erst jeder VPN-Instanz auf Site A ein eigenes Interface zuzuweisen, wenn das noch nicht geschehen ist, damit sich keine Pakete verlaufen.
    Dazu gehe auf Interfaces > assign, wähle unter "available network ports" die VPN Instanz (Bsp. ovpnc1, ovpns1; wenn du der VPN-Instanz eine Beschreibung verpasst hast, taucht diese hier auch auf), klicke auf Add und dann auf das neue Interface, einen Haken noch bei Enable setzen und einen treffenden Namen vergeben und die Sache speichern. Selbiges für die 2. OVPN-Instanz.

    Danach erscheinen die beiden Interfaces auch in Firewall > Rules, wo du schön getrennt die Regeln setzen kannst und dann als Source auch any verwenden kannt, ohne dass es sich auf die andere VPN auswirkt.
    Wenn du Zugriff auf eine nicht zusammenhängende Reihe von IP Adressen erlauben möchtest, packe diese erst in einen Alias (Firewall > Aliases > IP) und verwende diesen als Ziel in der Regel.
    Wenn du über die VPN auch ins Internet möchtest, wird es etwas komplizierter.
    Die Standard-Allow-any Regel am OpenVPN Interface muss gelöscht werden, denn diese würde immer noch zutreffen und alles erlauben.



  • @viragomann:

    Hallo!

    Dazu gehe auf Interfaces > assign, wähle unter "available network ports" die VPN Instanz (Bsp. ovpnc1, ovpns1; wenn du der VPN-Instanz eine Beschreibung verpasst hast, taucht diese hier auch auf), klicke auf Add und dann auf das neue Interface, einen Haken noch bei Enable setzen und einen treffenden Namen vergeben und die Sache speichern. Selbiges für die 2. OVPN-Instanz.

    Hallo viragomann

    herzlichen Dank für den Tipp!
    Genau das habe gesucht, weil ich wollte ja die Regeln erstellen aber konnte nicht genau bestimmen welchen VPN es betrifft.


Log in to reply