Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Erreichbakeit von außen - DMZ?

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 3 Posters 740 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      esquire1968
      last edited by

      Hallo zusammen!

      Ich habe mein Netzwerkt wie folgt erweitert. An die Schnittstelle OPT3_EXT hängt direkt ein Raspberry mit einer externen HDD. Dieser stellt als Client eine OpenVPN Verbindung zu einem Server her. Ich möchte das alle User in diesem OpenVPN Netz Zugriff auf die Daten der angeschlossen Festplatte haben, jedoch keinen Zugriff auf das übrige Netz (LAN).

      LAN 10.0.0.0/24
      OPT3_EXT 10.0.103.0/24 - Raspberry bekommt folgende IP zugewiesen 10.0.103.100
      VPN Netz - Raspberry bekommt folgende IP zugewiesen 10.8.0.102

      Ich habe den Zugrifft auf LAN für das Interface OPT3_EXT mittels FW-Regel blockiert und nur den Zugriff auf 10.0.103.1/Port 53 und für das OpenVPN Server freigegeben.

      An sich funktioniert das. Ich bin mir allerdings nicht sicher, ob das so optimal gelöst ist.

      LG
      Thomas

      1 Reply Last reply Reply Quote 0
      • H
        hbauer
        last edited by

        Wahrscheinlich übersehe ich etwas aber ich frage mich warum Du einen Extra OpenVPN Server hinter der pfsense hast.

        Gibt es einen Grund warum Du nicht Openvpn auf der pfsense verwendest und dort definierst in das alle vpn clients nur in das opt3_ext netz gehen dürfen. (und man aus dem opt3_ext nicht in das LAN darf)?

        Gruß
        Hagen

        1 Reply Last reply Reply Quote 0
        • E
          esquire1968
          last edited by

          Die Idee war, den Raspberry komplett getrennt vom übrigen Netz zu halten.

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Hallo,

            wenn der Raspberry die VPN aufbaut, muss eben auch dieser die Zugriffe aus der VPN kontrollieren, also die Protokolle und Ports, die aus der VPN erlaubt sind. Die pfSense kann so darauf keinen Einfluss nehmen.

            Um Zugriffe auf interne Netze sicher zu unterbinden, erstelle ich einen Alias "RFC1918", der sämtliche RFC 1918 Netze enthält, wie auch hier beschrieben:
            https://doc.pfsense.org/index.php/Prevent_RFC1918_traffic_from_leaving_pfSense_via_the_WAN_interface
            Diesen verwende ich in der Block-Rule als Destination am jeweiligen Interface. Das stellt sicher, dass die Regel auch funktioniert, wenn sich ein Netz ändert oder eines hinzukommt.
            Wenn du Floating Rules definiert hast, achte auch darauf, dass da nichts auf dem OPT3 Interface erlaubt ist, denn diese Regeln haben je nach Konfiguration Vorrang.

            Grüße

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.