Buonasera a tutti, mi rifaccio vivo dopo un po' con un dubbio.
Il sistema casalingo si basa su hardware fanless con pfsense (collegato in ppoe alla ftth 2.5 di TIM), e fin quì nessun problema, anzi solo gioie! 😀
Il sistema remoto invece espone un server OpenVPN correttamente configurato e funzionante a cui mi sono connesso dal sistema casalingo, configurando il client direttamente dentro pfSense sull'interfaccia adhoc che chiameremo VPNHEL1.

Il NAT in uscita è configurato in questo modo, al momento non c'è nessuna regola firewall impostata quindi, qualsiasi richiesta verso VPN proveniente da qualsiasi indirizzo LAN viene reindirizzata correttamente.

Come faccio a delimitare l'accesso alla VPN solo a determinati indirizzi IP LAN? Devo agire dal NAT e quindi configurare delle regole ad-hoc? Ho provato più volte dal firewall ma qualsiasi regola viene ignorata.

Grazie a tutti per l'aiuto.

  • apez84 ha risposto a questo messaggio

    Dovresti filtrare tra le rules, impostando come interfaccia di ingresso la VPN

    • jimmi ha risposto a questo messaggio

      Mrtt Ciao, ho già provato sia dall'interfaccia della VPN che dalla LAN, molte molte volte... Ma non è che il NAT ha priorità sulle regole?
      Mi spiego meglio. Visto che il NAT è stato configurato per reindirizzare tutte le richieste che provengono da 10.10.10.0/24 all'indirizzo IP dell'interfaccia della VPN, non è che le rules configurate nel firewall vengono ignorate?

      Grazie

        jimmi ciao perdonami ma ne approfitto che prodotto fanless hai preso ?
        Grazie

        • [cancellato]

        jimmi

        pfSense filtra sempre il traffico nella direzione inbound su una determinate interfaccia (unica eccezione, le floating rules). Quindi per filtrare il traffico originato da host sulla LAN, le regole vanno configurare sull'interfaccia LAN. Che regole hai provato sull'interfaccia LAN? Una cosa da notare, però è che (dal manuale di pfSense):

        Another significant place this comes into play is with assigned OpenVPN interfaces. If an “allow all” rule is in place on the OpenVPN tab, it is matched with the group rules. This means the rules on the interface tab will not apply.

        Sinceramente però non ho capito bene la configurazione che hai fatto e cosa vorresti fare - senza maggiori informazioni è difficile dire cosa non funziona e perché.

        jimmi
        Se vuoi filtrare chi può accedere alle porte del firewall dall'esterno devi filtrare sull'interfaccia WAN (se hai un port forward attivo su un indirizzo LAN devi inserire quest'ultimo come IP di destinazione), se vuoi filtrare chi della LAN remota possa accedere ai tuoi indirizzi LAN locali devi usare l'interfaccia VPN, se vuoi filtrare il traffico in uscita (indifferentemente che vada verso internet o verso la VPN) devi filtrare sull'interfaccia LAN.
        Ovviamente tieni presente gli override delle regole che ha menzionato @[cancellato]

        Io vorrei impedire ad alcuni indirizzi LAN (Rete 10.10.10.0/24) di accedere alla VPN Remota (VPNHEL1 10.1.2.2) configurata come interfaccia nel pfsense casalingo.
        Quindi mi state dicendo di aggiungere delle regole firewall sulla LAN che hanno come source l'indirizzo ip LAN da bloccare e come destination l'indirizzo dell'interfaccia VPNHEL1 (10.1.2.2)?
        Ho già provato parecchie volte, probabilmente devo provare a fare delle floating rules?

        Attualmente nell'interfaccia VPHEL1 ho configurato solo questa regola che funziona correttamente, che è stata creata automaticamente dopo aver fatto un port forwarding

        Mentre nell'interfaccia LAN ci sono queste regole.

        Specifico che sono stato attento anche all'ordine mettendo le regole in Pass prima di quelle in block.

        • Mrtt ha risposto a questo messaggio

          jimmi
          Come destinazione devi mettere la classe della VPN se non vuoi che la attraversino completamente, oppure specifichi un indirizzo IP, appartenente alla classe della VPN, che non vuoi sia raggiunto.

          • jimmi ha risposto a questo messaggio

            Mrtt Quindi, l'interfaccia VPNHEL1 ha come indirizzo ip statico 10.1.2.2.
            In realtà gli indirizzi IP della VPN a cui faccio accesso sono sulla classe 10.1.1.0/24
            Quindi devo mettere come destination questa classe?

            Non funziona.... riesco ancora a pingare 10.1.1.1 (host remoto in VPN) dal router 10.10.10.1

            Scusate l'ignoranza, ma non è che la classe 10.1.1.0/24 il firewall non la vede in quanto il traffico viene routato tutto attraverso il NAT in uscita sull'interfaccia VPNHEL1 con ip 10.1.2.2?

            Guardando gli states l'unica volta che appare l'indirizzo IP della LAN è il caso in cui ho fatto il port forwarding.

            • Mrtt ha risposto a questo messaggio

              jimmi
              Scusa, ma il NAT deve essere applicato ai pacchetti che escono sulla WAN, non sulla VPN.
              Se facessi source Nat sull'interfaccia VPN avresti sul firewall tutti i pacchetti in transito con sorgente l'IP nattato e non puoi discriminare cosa abilitare o meno

              Grazie, quindi come dovrei configurarlo?

              • Mrtt ha risposto a questo messaggio

                jimmi
                Disabilita la regola

                Diciamo che ho risolto in questo modo con queste regole avendo cura nel selezionare il gateway della VPN:

                • Mrtt ha risposto a questo messaggio

                  jimmi
                  Non vedo differenze tra mettere il gateway o meno sulle due regole, le VPN_NETS saranno raggiungibili solo tramite VPN e non in altro modo... ma con il NAT cosa hai fatto, lasciato come era?

                  • jimmi ha risposto a questo messaggio

                    Mrtt Si esatto.

                    • Mrtt ha risposto a questo messaggio

                      jimmi
                      Non vedo come, avendo lasciato il NAT verso la VPN e aggiunto un gateway su quelle regole, possa essere cambiato qualcosa...

                      Ciao @jimmi scusa il disturbo ma non so come scriverti in privato, mi interessa molto la tua config TIM 2.5 + pfSense visto che io vorrei realizzare una cosa simile con OPNsense.
                      Riesci a sfruttare tutta la banda della linea? che caratteristiche ha il tuo pc pfSense? Baremetal o Proxmox?
                      Scusa delle tante domande e grazie mille

                      • jimmi ha risposto a questo messaggio

                        Feybio Sì riesco a sfruttare tutta la banda senza problemi e senza portare la CPU a più del 50%.
                        Sto usando un fanless preso su aliexpress con CPU N5105 e 4x RJ45 i226.
                        pfSense è in baremetal.
                        Per ora molto soddisfatto!

                        Questo è uno speedtest, considera che non ho mai superato i 2150 mbit, ma credo per un problema di saturazione della scatola di derivazione.

                        https://www.speedtest.net/result/15583268886.png

                        https://forum.fibra.click/d/41348-hardware-firewall-opnsense-baremetal-o-vm/2

                        Grazie per le info,
                        io ho un J6412 con 16GB DDR4 e 4x i225-v 2.5Gbe ma ho letto in giro che le i225 non sono un granchè... infatti ho rinunciato a far girare opnsense su proxmox, ho più riscontri positivi in baremetal, sto eseguendo un pò di test con Iperf3.
                        Tra WAN e LAN su PC widows 10 connesso con scheda a 10Gb arrivo a 2.37Gb/s ma noto che non è costante.
                        Ho provato anche i vari tunables ma di più non spinge...

                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                        P.I. IT16712091004 - info@fibraclick.it

                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile