OpenVPN: Client Verbindung ignoriert Firewall Rules der lokalen Schnittstelle



  • Hallo Zusammen

    Ich glaube ich habe mit beim Konzept OpenVPN im Tun Mode ein wenig verfangen.

    OpenVPN Server mit Layer 3 Tunnel Mode:
    IPv4 Tunnel Network: 10.200.50.0/24
    IPv4 Local Network: 10.10.0.0/16

    Mein Problem ist das auf dem local Network (10.10.0.0/16) diverse Firewall Rules in andere Vlans sind und diese ignoriert werden.
    Gibt es da eine Möglichkeit das diese miteinbezogen werden ohne das ich auf dem OpenVPN Interface jegliche Firewall Rules nachbauen muss?
    Oder ist das nur möglich im Tap Mode? Ist mir eher unsympathisch da ich nicht den ganzen Traffic durch den Tunnel will.

    Dank unterschiedlichen LDAP Servern werden wohl noch 1-2 OpenVPN Instanzen mehr hochgefahren, bedeutet das Firewall Regelwerk wird auf dem OpenVPN Interface noch komplexer und anfälliger für Fehler.

    Vielen Dank

    Gruss


  • LAYER 8 Rebel Alliance

    Traffic wird EINGEHEND je Interface oder Interface-Gruppe ("OpenVPN") gesehen.
    Wie kommst du darauf, dass es für OpenVPN traffic eine Rolle spielt welche Rules am LAN Interface sind?

    -Rico



  • Hallo Rico
    Ich habe mir erhofft das es da eine "versteckte" Funktion gibt.
    Hab einige Vlans, mit diversen Firewall Regeln und hätte jetzt gerne das der neue OpenVPN das bestehende Regelwerk übernimmt ohne das ich jede Regel auf dem OpenVPN Interface nachbauen muss.

    Es gibt ja auch keine Möglichkeit eine Firewall Regel auf ein anders Interface zu verlinken oder?
    Also z.B. Produktives VLAN wird ein neuer Server auf einer speziellen Regel hinzugefügt würde es automatisch auch die OpenVPN Firewall Regel anpassen.

    Ich habe momentan gerade noch eine weiter Frage
    Ich hab paar Netzwerke welche über einen anderen Gateway nur verfügbar sind.
    Die Netzwerke sind als Static Routes hinterlegt, funktioniert auch super aus dem produktiven Netzwerk (10.10.0.0/16).
    Jedoch nicht über das OpenVPN Netzwerk, obwohl die Netzwerke als push route mitgegeben werden und beim Client auch sauber gezogen wird. OpenVPN Interface hat momentan eine "Erlaub Alles Regeln" und es gibt eine Floating Regeln wo das Erreichen dieser Netzwerke erlaubt wird.
    Hab momentan gerade keine Idee mehr an was es liegen könnte.

    Gruss


Log in to reply