Traffic zwischen PPTP VPN und LAN - Firewall Probleme
-
Hallo Zusammen,
wir haben eine pfsense 2.0 BETA 5 Firewall im Einsatz im Büro für das Testnetzwerk und ich habe damit ein paar Probleme.
Das PPTP VPN ist komplett eingerichtet und funktioniert auch wunderbar, nur verstehe ich die Firewall nicht ganz. Scheinbar haben änderungen an der Firewall keine Auswirkung auf den Paketfluss.
So soll es sein:
- PPTP Clients aus dem Bereich 172.16.10.100-199 sollen nur auf Port 80 mit dem LAN Subnet kommunizieren können, und auch nur mit einem bestimmten IP Bereich (192.168.2.80-130).
- PPTP Clients aus dem Beriech 172.16.10.200-254 sollen auf alles im LAN Subnet zugreifen können.
- Der PPTP Server hat die IP: 172.16.10.1
Nun zum Problem:
Mache ich eine Firewallregel auf "PPTP VPN" die besagt, dass aller Traffic durchgelassen wird, blockt die Firewall nach einem Apply, mache ich dann noch eine Regel, dass ein bestimmter Host durchkommt, geht auf einmal alles. Deaktiviere ich nun beide Regeln und erstelle eine Block any Regel, geht der Traffic trotzdem noch durch, erstelle ich nun ein paar Regeln und Lösche ein paar Regel, geht der Traffic irgendwann nicht mehr durch, obwohl er sollte.Also kurzum ist das Problem, dass ich mit Logischem Menschenverstand die Firewall nicht konfiguriert bekomme.
Ausgabe /tmp/rules.debug (interessante Zeile):
block in log quick on $pptp from any to any label "USER_RULE"und trotdzem geht Traffic durch, was eigentlich ja nicht der Fall sein sollte. Auch wenn ich alle Regeln unterhalb von PPTP VPN Lösche, geht der Traffic noch durch nach einem Apply.
Habt ihr noch irgendwelche Ideen woran das liegen könnte? Ich bin wirklich mit meinem Latein am Ende.
-
Ich meine das du im Fall PPTP den VPN abbauen musst, wenn du Regeln änderst. Also Clients raus, dann Regeln erstellen. Es gibt immer eine Deny All Regel…
Du müsstest also einfach drei Aliases für deine Ranges erstellen. Danach erstellst du dann auch dem PPTP Tab deine Regeln. Interessant wären auch Screenshots deiner Regeln und der komplette Output von /tmp/rules.debug. Dann wähle dich auch mal per ssh ein und schau dir die pflog0 Ausgabe an (Punkt 10) und poste das auch mal, aber erst wenn du alles konfiguriert hast...