<![CDATA[Erreichbakeit von außen - DMZ?]]>Hallo zusammen!

Ich habe mein Netzwerkt wie folgt erweitert. An die Schnittstelle OPT3_EXT hängt direkt ein Raspberry mit einer externen HDD. Dieser stellt als Client eine OpenVPN Verbindung zu einem Server her. Ich möchte das alle User in diesem OpenVPN Netz Zugriff auf die Daten der angeschlossen Festplatte haben, jedoch keinen Zugriff auf das übrige Netz (LAN).

LAN 10.0.0.0/24
OPT3_EXT 10.0.103.0/24 - Raspberry bekommt folgende IP zugewiesen 10.0.103.100
VPN Netz - Raspberry bekommt folgende IP zugewiesen 10.8.0.102

Ich habe den Zugrifft auf LAN für das Interface OPT3_EXT mittels FW-Regel blockiert und nur den Zugriff auf 10.0.103.1/Port 53 und für das OpenVPN Server freigegeben.

An sich funktioniert das. Ich bin mir allerdings nicht sicher, ob das so optimal gelöst ist.

LG
Thomas

]]>https://forum.netgate.com/topic/125727/erreichbakeit-von-außen-dmzRSS for NodeTue, 21 Apr 2026 20:17:16 GMTSun, 14 Jan 2018 08:28:32 GMT60<![CDATA[Reply to Erreichbakeit von außen - DMZ? on Sun, 14 Jan 2018 22:28:58 GMT]]>Hallo,

wenn der Raspberry die VPN aufbaut, muss eben auch dieser die Zugriffe aus der VPN kontrollieren, also die Protokolle und Ports, die aus der VPN erlaubt sind. Die pfSense kann so darauf keinen Einfluss nehmen.

Um Zugriffe auf interne Netze sicher zu unterbinden, erstelle ich einen Alias "RFC1918", der sämtliche RFC 1918 Netze enthält, wie auch hier beschrieben:
https://doc.pfsense.org/index.php/Prevent_RFC1918_traffic_from_leaving_pfSense_via_the_WAN_interface
Diesen verwende ich in der Block-Rule als Destination am jeweiligen Interface. Das stellt sicher, dass die Regel auch funktioniert, wenn sich ein Netz ändert oder eines hinzukommt.
Wenn du Floating Rules definiert hast, achte auch darauf, dass da nichts auf dem OPT3 Interface erlaubt ist, denn diese Regeln haben je nach Konfiguration Vorrang.

Grüße

]]>https://forum.netgate.com/post/745909https://forum.netgate.com/post/745909Sun, 14 Jan 2018 22:28:58 GMT<![CDATA[Reply to Erreichbakeit von außen - DMZ? on Sun, 14 Jan 2018 20:09:29 GMT]]>Die Idee war, den Raspberry komplett getrennt vom übrigen Netz zu halten.

]]>https://forum.netgate.com/post/745887https://forum.netgate.com/post/745887Sun, 14 Jan 2018 20:09:29 GMT<![CDATA[Reply to Erreichbakeit von außen - DMZ? on Sun, 14 Jan 2018 13:40:16 GMT]]>Wahrscheinlich übersehe ich etwas aber ich frage mich warum Du einen Extra OpenVPN Server hinter der pfsense hast.

Gibt es einen Grund warum Du nicht Openvpn auf der pfsense verwendest und dort definierst in das alle vpn clients nur in das opt3_ext netz gehen dürfen. (und man aus dem opt3_ext nicht in das LAN darf)?

Gruß
Hagen

]]>https://forum.netgate.com/post/745831https://forum.netgate.com/post/745831Sun, 14 Jan 2018 13:40:16 GMT