Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN von intern zu intern unterbinden

    Scheduled Pinned Locked Moved Deutsch
    9 Posts 3 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • X
      Ximix
      last edited by

      Hallo,

      wenn ein Client (Laptop) mit installiertem OpenVPN - Client sich im internen Netz (LAN) der PFSense befindet, verbindet sich dieser Client trotzdem noch per OpenVPN über die WAN-Adresse mit dem internen Netz. Dies ist nicht erwünscht und führt zu Routing-Problemen.
      Wie kann ich verhindern, dass Clients im internen Netz (also LAN-Seite) sich per OpenVPN mit dem internet Netz verbinden können. OpenVPN zu anderen externen Netzen sollen aber weiterhin möglich sein.
      Ich habe schon entsprechende Block/Reject Regel beim WAN, LAN und OpenVPN - Interface getestet. Egal was, es funktioniert trotzdem immer noch.
      Was übersehe ich?

      Danke und Gruß

      1 Reply Last reply Reply Quote 0
      • X
        Ximix
        last edited by

        Hat sich erledigt. Scheinbar war ich nach erstellen der Regeln zu ungeduldig. Erst nach einiger Zeit (mehr als 10 Minuten) greift die erstellte Regel. Warum auch immer das so lange dauert...?

        1 Reply Last reply Reply Quote 0
        • RicoR
          Rico LAYER 8 Rebel Alliance
          last edited by

          Keine Ahnung was genau dein Problem war, denn den ersten Post hast du ja gelöscht...
          Jedenfalls werden Block/Reject Regeln erst aktiv wenn bereits offene States wieder geschlossen und neu geöffnet werden.

          -Rico

          1 Reply Last reply Reply Quote 0
          • X
            Ximix
            last edited by

            Das war mein erster Beitrag:

            Hallo,
            wenn ein Client (Laptop) mit installiertem OpenVPN - Client sich im internen Netz (LAN) der PFSense befindet, verbindet sich dieser Client trotzdem noch per OpenVPN über die WAN-Adresse mit dem internen Netz. Dies ist nicht erwünscht und führt zu Routing-Problemen.
            Wie kann ich verhindern, dass Clients im internen Netz (also LAN-Seite) sich per OpenVPN mit dem internet Netz verbinden können. OpenVPN zu anderen externen Netzen sollen aber weiterhin möglich sein.
            Ich habe schon entsprechende Block/Reject Regel beim WAN, LAN und OpenVPN - Interface getestet. Egal was, es funktioniert trotzdem immer noch.
            Was übersehe ich?
            Danke und Gruß

            Das mit den States habe ich dann auch bemerkt. Leider funktioniert das aber immer noch nicht. Wenn ich jetzt die genannten OpenVPN-Verbindungen blockieren will, dann blockiere ich leider alle eingehenden auch. Ich will aber nur die von intern auf die eigene WAN-Schnittstelle blockieren - gelingt aber irgendwie nicht.
            In anderen Worten. Wenn der OpenVPN-Client sich im internen Netz befindet, soll die OpenVPN-Verbinung nicht zustande kommen.

            1 Reply Last reply Reply Quote 0
            • RicoR
              Rico LAYER 8 Rebel Alliance
              last edited by Rico

              Wenn die Regel im LAN gelten soll, erstellst du sie natürlich auf der LAN Schnittstelle, Destination WAN address.
              Ganz bzw. soweit nach oben schieben damit sie vor einer eventuellen allow any Regel steht.

              -Rico

              1 Reply Last reply Reply Quote 0
              • X
                Ximix
                last edited by

                Das hatte ich als erstes so gemacht, hatte aber nicht funktioniert. Aber evtl. war die Ursache auch noch offene States. Ich teste das nochmal entsprechend. Zudem hatte ich das Problem, dass die Regeln sich immer wieder von alleine umsortiert hatten und die Block-Regel dann immer wieder ganz unten stand. Dafür war aber anscheinend das Plugin pfBlockerNG verantwortlich. wenn ich morgen wieder im internen LAN bin, teste ich das ganze nochmal.
                Danke erstmal!

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  @Ximix said in OpenVPN von intern zu intern unterbinden:

                  Zudem hatte ich das Problem, dass die Regeln sich immer wieder von alleine umsortiert hatten und die Block-Regel dann immer wieder ganz unten stand. Dafür war aber anscheinend das Plugin pfBlockerNG verantwortlich. wenn ich morgen wieder im internen LAN bin, teste ich das ganze nochmal.

                  pfBlockerNG sortiert NUR die Regeln um, die es selbst erstellt nach den Einstellungen die vorgenommen wurden. Wenn du also pfBNG Regeln automatisch erstellen lässt und diese konfigurierst mit "sollen am Anfang der Liste stehen" dann wird er auch nach jedem Update Vorgang diese Regeln wieder entsprechend herstellen. Andere Regeln verschiebt pfBNG nicht einfach. Wenn du aber außer denen nichts anderes hast - kein Wunder.

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • X
                    Ximix
                    last edited by

                    @JeGr said in OpenVPN von intern zu intern unterbinden:

                    pfBlockerNG sortiert NUR die Regeln um, die es selbst erstellt nach den Einstellungen die vorgenommen wurden. Wenn du also pfBNG Regeln automatisch erstellen lässt und diese konfigurierst mit "sollen am Anfang der Liste stehen" dann wird er auch nach jedem Update Vorgang diese Regeln wieder entsprechend herstellen. Andere Regeln verschiebt pfBNG nicht einfach. Wenn du aber außer denen nichts anderes hast - kein Wunder.

                    Doch da hab ich schon noch einige. Die allow sind auch alle geblieben wo sie sein sollen, aber die Block/Reject - Regeln, die ich ganz oben in die Liste gesetzte habe (und dann natürlich auch gespeichert hatte) sind nach kurzer Zeit immer wieder ganz nach unten verschoben worden. Die Ursache war pfBlockerNG. Nachdem ich dort die Reihenfolge (war von mir falsch eingestellt) verändert habe, war das Problem weg.

                    Das Problem dieses Threads ist auch behoben. Hatte alles richtig gemacht, aber die offenen States einfach nicht bedacht.
                    Danke euch!

                    1 Reply Last reply Reply Quote 1
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Freut mich :)

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 1
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.