Firewall para ligaçoes VPN (openVPN)



  • boas pessoal,
    no meu pfsense tenho vários túneis de VPN, ponto a ponto (openVPN) e IPSec. Quero que passe apenas tráfego RADIUS pelo túnel no sentido ponto remoto para o ponto principal. Criei as seguintes regras do lado do servidor de VPN

    ID Proto Source Port Destination Port Gateway Queue Schedule
    UDP * * RADIUSServer 1813 (RADIUS accounting) * none
    UDP * * RADIUSServer 1812 (RADIUS) * none

    com estas regras criadas continuo a ter acessos do lado principal aos equipamentos que se encontram no site remoto e vice-versa, ou seja, o porto 443, PING's, telnet etc em ambos os sentidos….

    do outro lado tenho a permitir tudo.
    A minha ideia era do lado remoto permitir tudo e do lado do principal fazer as minhas restrições.

    Um abraço



  • Você criou essas Regras na aba LAN ou openVPN?



  • @kelsen:

    Você criou essas Regras na aba LAN ou openVPN?

    na aba do OpenVPN



  • Se você vai bloquear so de um lado, acredito que seja necessário você bloquear na Lan.



  • @kelsen:

    Se você vai bloquear so de um lado, acredito que seja necessário você bloquear na Lan.

    então para que serve esse separador OPENVPN?!



  • Aí é que tá, as vezes liberando tudo no openvpn, continua bloqueando se não liberar na lan, as vezes isso não acontece, é preciso testar, ver no tcpdump.



  • @kelsen:

    Aí é que tá, as vezes liberando tudo no openvpn, continua bloqueando se não liberar na lan, as vezes isso não acontece, é preciso testar, ver no tcpdump.

    mas o meu problema é o contrário…

    quero que bloqueie tudo excepto RADIUS (no sentido remoto para a minha rede principal), e acesso HTTPS ao pfsense remoto (no sentido da minha rede principal rede remota).



  • @Akill:

    @kelsen:

    Aí é que tá, as vezes liberando tudo no openvpn, continua bloqueando se não liberar na lan, as vezes isso não acontece, é preciso testar, ver no tcpdump.

    mas o meu problema é o contrário…

    quero que bloqueie tudo excepto RADIUS (no sentido remoto para a minha rede principal), e acesso HTTPS ao pfsense remoto (no sentido da minha rede principal rede remota).

    de qualquer maneira vou fazer uns testes de bloqueios no separador da LAN