Firewall:Rules OpenVPN



  • Настроено три соединения OpenVPN.

    В двух Pfsense выступает как сервер- это соединение дружественных сетей, трафик разрешен весь.
    В 3-ем соединении PFsense выступает как клиент. Через третье соединение трафик должен быть ограничен (только один IP адрес из моей внутренней сети на определенной IP адрес удаленной сети и по определенным портам)
    Как это расписать правилах фаервола?
    Подскажите пожалуйста!



  • Правилами fw на LAN
    Правило должно быть самым верхним.



  • Правила Rules OpenVPN описывают доступ из туннеля в местную сеть? Или из сети в туннель тоже?

    Или правильно так:

    • Rules OpenVPN - описывают доступ из туннеля в местную сеть.
    • Правила LAN - описывают доступ из LAN к удаленной сети через туннель.

    Я так понимаю что второй вариант правильный.
    Если  я укажу в настройках INTERFACES OpenVPN-туннель как сетевой интерфейс- это наверное облегчит задачу при настройках RULES?



  • описывают доступ из туннеля в местную сеть

    Верно

    Правила LAN - описывают доступ из LAN к удаленной сети через туннель

    Верно

    Если  я укажу в настройках INTERFACES OpenVPN-туннель как сетевой интерфейс- это наверное облегчит задачу при настройках RULES?

    Неверно. Не надо явно создавать сетевой впн-интерфейс. Он у Вас уже имеется, если создан впн-сервер.



  • @dduh:

    Настроено три соединения OpenVPN.

    В двух Pfsense выступает как сервер- это соединение дружественных сетей, трафик разрешен весь.
    В 3-ем соединении PFsense выступает как клиент. Через третье соединение трафик должен быть ограничен (только один IP адрес из моей внутренней сети на определенной IP адрес удаленной сети и по определенным портам)
    Как это расписать правилах фаервола?
    Подскажите пожалуйста!

    Просто  во Floating Rules пропишите два правила не выбирая интерфейсов

    • разрешающее связь конкретной связки адресов-портов

    • запрещающее любое подключение к удаленному IP

    Не забудьте применить опцию Quick в правилах, иначе могут не сработать.



  • @PbIXTOP:

    @dduh:

    Настроено три соединения OpenVPN.

    В двух Pfsense выступает как сервер- это соединение дружественных сетей, трафик разрешен весь.
    В 3-ем соединении PFsense выступает как клиент. Через третье соединение трафик должен быть ограничен (только один IP адрес из моей внутренней сети на определенной IP адрес удаленной сети и по определенным портам)
    Как это расписать правилах фаервола?
    Подскажите пожалуйста!

    Просто  во Floating Rules пропишите два правила не выбирая интерфейсов

    • разрешающее связь конкретной связки адресов-портов

    • запрещающее любое подключение к удаленному IP

    Не забудьте применить опцию Quick в правилах, иначе могут не сработать.

    При правильном написании правил, оно срабатывает в любом случае. Quick прекращает дальнейшую обработку пакета (-ов), попавших под это правило.
    Не стоит ТС пока лезть во флоатинг рулез. Сперва пускай разберется с правилами на интерфейсах.



  • @werter:

    При правильном написании правил, оно срабатывает в любом случае. Quick прекращает дальнейшую обработку пакета (-ов), попавших под это правило.

    Если прописать во Floating без quick, то имея два одинаковых противоположных правила во Floating и интерфейсном — сработает интерфейсное правило поскольку в них по умолчанию используется просто quick http://www.openbsd.org/faq/pf/filter.html#intro .
    Проверяется это легко командой pfctl -sr .



  • Всё таки туплю… Пока для доступа из OpenVPN в LAN

    Rules OpenVPN:

    IPv4 * net1_pass * 192.168.3.4 * * Доступ от IP шлюза к Астериску - разрешен только один шлюз

    IPv4 * net2_pass * * * * Доступ из 2 нет - разрешено все из этой сети

    IPv4 * net3_pass * 192.168.3.4 5060 * Доступ из 3 нет к Астериску

    А как прописать правила для удаленного клиента, который подключается со случайного адреса путем Remote Access. Возможно ли в правилах в SOURCE указать IPv4 Tunnel Network (типа 10.0.0.0/24)?



  • netX_pass у Вас - это адреса туннельных сетей ? Или сетей за клиентами ?



  • Это сети клиентов типа 192.168.0.0/24, а сети туннелей типа 10.0.0.0/24
    А клиенты подключающиеся через Remote Access не имеют адреса сети, имеют только адрес из сети туннеля.

    p.s. После экспериментов, можно указывать в OpenVPN Rules подсеть тунеля удаленного клиента. Не знаю насколько это правильно, но работает.

    Да вспомнилась ещё одна проблема. Мне мерещится или это так на самом деле? Правила OpenVPN туннелей начинают работать только после перезагрузки шлюза? Я не испытал, может достаточно было туннель перезапустить, хотя вроде перезапускал? Я как то попал на этой проблеме, завис на вечер, потом ради эксперимента перезапустил шлюз и всё заработало. Теперь так и делаю.



  • Я указывал правила на вкладке OpenVPN - работали для туннельных адресов.
    Перезагрузки не требовалось. Перезапуск туннеля? Возможно. Я управлял доступом Remote access юзеров, туннель при этом пересоздавался.


Log in to reply