[solved] OpenVPN Client nur für bestimmtes Interface benutzen
-
Hallo zusammen,
noch eine Frage. Muss ich den noch eine Regel erstellen die sozusagen für das VPN Netz nochmal reglementiert? Sprich ich möchte ja den Traffic über den OpenVPN Client nur von mir nach draußen zulassen. Aber es soll nichts über den VPN Tunnel in mein Netz gelangen. Oder ist das im default schon so?
Mit dieser Regel erlaube ich meinen nb01 alles über das VPN Netz nach "draußen". Kann denn nun von der VPN Gegenstelle auch auf mein Netz zugegriffen werden?
-
Hallo!
Nein, wenn du es nicht explizit per Regel erlaubt hast.
Die Regeln sind in pfSense immer auf den Interfaces zu setzen, auf denen der Traffic in die Firewall reinkommt. Das wäre hier das VPN Interface, bzw. OpenVPN. Wenn du da keine Regeln gesetzt hast (standardmäßig wird nur bei einem Access-Server ein Pass-Regel gesetzt), ist kein Zugriff erlaubt.OpenVPN ist hier eine Interface-Gruppe, die sämtliche OpenVPN-Instanzen einschließt. Eine Regel hier würde sich ebenfalls auf die Client-Verbindung auswirken. Ergo ist es zweckmäßig und übersichtlicher, falls man mehrere OpenVPN-Instanzen betreibt, welche, wo Zugriff erlaubt ist (bspw. Access-Server) und welche, ohne eingehende Verbindungen, jeder OpenVPN-Instanz ein Interface zuzuweisen und auf diesen die jeweiligen Regeln zu definieren. Am OpenVPN Tab sollte alle Regeln entfernt werden.
Grüße
-
Hi,
danke für die Erläuterung. Dann passt das so. Das VPNINTERFACE sowie OpenVPN sind leer, sprich keine Regeln enthalten.
-
Floating Regeln wären der Vollständigkeit halber auch noch zu erwähnen. Ist hier eine Regel eingerichtet, die eines der beiden Interfaces ausgewählt hat, würde sie auch angewandt werden.
Ich denke aber nicht, dass das bei dir zutrifft. Ein Interface in einer Floating-Regel wählt man ja nicht unbewusst aus.