OpenVPN von intern zu intern unterbinden



  • Hallo,

    wenn ein Client (Laptop) mit installiertem OpenVPN - Client sich im internen Netz (LAN) der PFSense befindet, verbindet sich dieser Client trotzdem noch per OpenVPN über die WAN-Adresse mit dem internen Netz. Dies ist nicht erwünscht und führt zu Routing-Problemen.
    Wie kann ich verhindern, dass Clients im internen Netz (also LAN-Seite) sich per OpenVPN mit dem internet Netz verbinden können. OpenVPN zu anderen externen Netzen sollen aber weiterhin möglich sein.
    Ich habe schon entsprechende Block/Reject Regel beim WAN, LAN und OpenVPN - Interface getestet. Egal was, es funktioniert trotzdem immer noch.
    Was übersehe ich?

    Danke und Gruß



  • Hat sich erledigt. Scheinbar war ich nach erstellen der Regeln zu ungeduldig. Erst nach einiger Zeit (mehr als 10 Minuten) greift die erstellte Regel. Warum auch immer das so lange dauert...?


  • LAYER 8 Rebel Alliance

    Keine Ahnung was genau dein Problem war, denn den ersten Post hast du ja gelöscht...
    Jedenfalls werden Block/Reject Regeln erst aktiv wenn bereits offene States wieder geschlossen und neu geöffnet werden.

    -Rico



  • Das war mein erster Beitrag:

    Hallo,
    wenn ein Client (Laptop) mit installiertem OpenVPN - Client sich im internen Netz (LAN) der PFSense befindet, verbindet sich dieser Client trotzdem noch per OpenVPN über die WAN-Adresse mit dem internen Netz. Dies ist nicht erwünscht und führt zu Routing-Problemen.
    Wie kann ich verhindern, dass Clients im internen Netz (also LAN-Seite) sich per OpenVPN mit dem internet Netz verbinden können. OpenVPN zu anderen externen Netzen sollen aber weiterhin möglich sein.
    Ich habe schon entsprechende Block/Reject Regel beim WAN, LAN und OpenVPN - Interface getestet. Egal was, es funktioniert trotzdem immer noch.
    Was übersehe ich?
    Danke und Gruß

    Das mit den States habe ich dann auch bemerkt. Leider funktioniert das aber immer noch nicht. Wenn ich jetzt die genannten OpenVPN-Verbindungen blockieren will, dann blockiere ich leider alle eingehenden auch. Ich will aber nur die von intern auf die eigene WAN-Schnittstelle blockieren - gelingt aber irgendwie nicht.
    In anderen Worten. Wenn der OpenVPN-Client sich im internen Netz befindet, soll die OpenVPN-Verbinung nicht zustande kommen.


  • LAYER 8 Rebel Alliance

    Wenn die Regel im LAN gelten soll, erstellst du sie natürlich auf der LAN Schnittstelle, Destination WAN address.
    Ganz bzw. soweit nach oben schieben damit sie vor einer eventuellen allow any Regel steht.

    -Rico



  • Das hatte ich als erstes so gemacht, hatte aber nicht funktioniert. Aber evtl. war die Ursache auch noch offene States. Ich teste das nochmal entsprechend. Zudem hatte ich das Problem, dass die Regeln sich immer wieder von alleine umsortiert hatten und die Block-Regel dann immer wieder ganz unten stand. Dafür war aber anscheinend das Plugin pfBlockerNG verantwortlich. wenn ich morgen wieder im internen LAN bin, teste ich das ganze nochmal.
    Danke erstmal!


  • LAYER 8 Moderator

    @Ximix said in OpenVPN von intern zu intern unterbinden:

    Zudem hatte ich das Problem, dass die Regeln sich immer wieder von alleine umsortiert hatten und die Block-Regel dann immer wieder ganz unten stand. Dafür war aber anscheinend das Plugin pfBlockerNG verantwortlich. wenn ich morgen wieder im internen LAN bin, teste ich das ganze nochmal.

    pfBlockerNG sortiert NUR die Regeln um, die es selbst erstellt nach den Einstellungen die vorgenommen wurden. Wenn du also pfBNG Regeln automatisch erstellen lässt und diese konfigurierst mit "sollen am Anfang der Liste stehen" dann wird er auch nach jedem Update Vorgang diese Regeln wieder entsprechend herstellen. Andere Regeln verschiebt pfBNG nicht einfach. Wenn du aber außer denen nichts anderes hast - kein Wunder.



  • @JeGr said in OpenVPN von intern zu intern unterbinden:

    pfBlockerNG sortiert NUR die Regeln um, die es selbst erstellt nach den Einstellungen die vorgenommen wurden. Wenn du also pfBNG Regeln automatisch erstellen lässt und diese konfigurierst mit "sollen am Anfang der Liste stehen" dann wird er auch nach jedem Update Vorgang diese Regeln wieder entsprechend herstellen. Andere Regeln verschiebt pfBNG nicht einfach. Wenn du aber außer denen nichts anderes hast - kein Wunder.

    Doch da hab ich schon noch einige. Die allow sind auch alle geblieben wo sie sein sollen, aber die Block/Reject - Regeln, die ich ganz oben in die Liste gesetzte habe (und dann natürlich auch gespeichert hatte) sind nach kurzer Zeit immer wieder ganz nach unten verschoben worden. Die Ursache war pfBlockerNG. Nachdem ich dort die Reihenfolge (war von mir falsch eingestellt) verändert habe, war das Problem weg.

    Das Problem dieses Threads ist auch behoben. Hatte alles richtig gemacht, aber die offenen States einfach nicht bedacht.
    Danke euch!


  • LAYER 8 Moderator

    Freut mich :)


Log in to reply