Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Peer to Peer (Shared Key) und Regeln

    Deutsch
    2
    5
    405
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Bob.DigB
      Bob.Dig LAYER 8
      last edited by

      Kurze Frage, ich habe das entsprechende Interface erstellt und frage mich, ist das nur für ausgehende Verbindungen, so wie beim LAN-Interface, oder auch für eingehende Verbindungen, wie beim WAN-Interface?
      Oder anders gefragt, hat die "andere Seite" belieben Zugriff bei mir? Das ist in meinem Falle keine pfSense, sondern ein Open VPN Client on Windows.

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @Bob.Dig
        last edited by

        @bob-dig
        Alle Interfaces sind für eingehende wie ausgehende Verbindungen geeignet. Welcher Traffic in welche Richtung passieren darf regeln die Firewall Rules, und zwar immer am eingehenden Interface (mal ausgenommen Floating mit "direction out").
        Also, wenn du am LAN eine Regel hast, die alles ausgehende erlaubt, dann darf der Traffic auch auf dem VPN Interface raus.

        Aber rein darf an dem VPN Interface nichts, solange du nicht explizit eine Regel erstellst, die das erlaubt, auf dem Interface Tab oder eine Floating, die du auf dieses VPN Interface anwendest.

        Aber ja, ACHTUNG! Bei OpenVPN gibt es immer auch eine implizite Interface-Group, der OpenVPN Tab. Alle Regeln auf diesem Tab wirken sich auf alle OpenVPN Instanzen aus, also auch auf diese P2P. Obendrein haben diese Regeln Vorrang über solche an den einzelnen Interface Tabs.
        Wenn du bspw. bereits einen Access Server laufen hast, hast du auf diesem mglw. bereits eine Regel, die alles erlaubt. Die würde dann auch auf der neuen P2P jeglichen Zugriff erlauben.

        Der sicherste Weg wäre wohl, jeder OpenVPN Instanz ein eigenes Interface zuzuweisen und da die benötigten Regel anzulegen und vom OpenVPN Tab alle Regeln zu entfernen.

        Bob.DigB 1 Reply Last reply Reply Quote 1
        • Bob.DigB
          Bob.Dig LAYER 8 @viragomann
          last edited by Bob.Dig

          @viragomann said in Peer to Peer (Shared Key) und Regeln:

          Alle Interfaces sind für eingehende wie ausgehende Verbindungen geeignet. Welcher Traffic in welche Richtung passieren darf regeln die Firewall Rules, und zwar immer am eingehenden Interface (mal ausgenommen Floating mit "direction out").

          Nur darauf zielte meine Frage ab. Wenn ich dich hier richtig verstanden habe, dann kann ich auf dem Interface beide Richtungen einstellen, weil es ja nur ein Interface gibt? Das OpenVPN Tab mal außen vor, das ist immer komplett leer bei mir und der Umstand damit war mir bekannt.

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @Bob.Dig
            last edited by

            @bob-dig
            Ja, für um eingehenden Traffic zu erlauben, sind Regeln auf dem VPN Interface zu erstellen.
            Den ausgehenden Traffic regelst du auf deinen internen Interfaces.

            Bob.DigB 1 Reply Last reply Reply Quote 1
            • Bob.DigB
              Bob.Dig LAYER 8 @viragomann
              last edited by

              @viragomann Danke Dir, hatte ich doch noch einen Denkfehler!

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.