OpenVPN pfSense client verso server - Gestione accessi

jimmi · 2024-01-16T20:33:29+00:00

Buonasera a tutti, mi rifaccio vivo dopo un po' con un dubbio. Il sistema casalingo si basa su hardware fanless con pfsense (collegato in ppoe alla ftth 2.5...

[cancellato]

jimmi

pfSense filtra sempre il traffico nella direzione inbound su una determinate interfaccia (unica eccezione, le floating rules). Quindi per filtrare il traffico originato da host sulla LAN, le regole vanno configurare sull'interfaccia LAN. Che regole hai provato sull'interfaccia LAN? Una cosa da notare, però è che (dal manuale di pfSense):

Another significant place this comes into play is with assigned OpenVPN interfaces. If an “allow all” rule is in place on the OpenVPN tab, it is matched with the group rules. This means the rules on the interface tab will not apply.

Sinceramente però non ho capito bene la configurazione che hai fatto e cosa vorresti fare - senza maggiori informazioni è difficile dire cosa non funziona e perché.

Mrtt

jimmi
Se vuoi filtrare chi può accedere alle porte del firewall dall'esterno devi filtrare sull'interfaccia WAN (se hai un port forward attivo su un indirizzo LAN devi inserire quest'ultimo come IP di destinazione), se vuoi filtrare chi della LAN remota possa accedere ai tuoi indirizzi LAN locali devi usare l'interfaccia VPN, se vuoi filtrare il traffico in uscita (indifferentemente che vada verso internet o verso la VPN) devi filtrare sull'interfaccia LAN.
Ovviamente tieni presente gli override delle regole che ha menzionato @[cancellato]

jimmi

Io vorrei impedire ad alcuni indirizzi LAN (Rete 10.10.10.0/24) di accedere alla VPN Remota (VPNHEL1 10.1.2.2) configurata come interfaccia nel pfsense casalingo.
Quindi mi state dicendo di aggiungere delle regole firewall sulla LAN che hanno come source l'indirizzo ip LAN da bloccare e come destination l'indirizzo dell'interfaccia VPNHEL1 (10.1.2.2)?
Ho già provato parecchie volte, probabilmente devo provare a fare delle floating rules?

Attualmente nell'interfaccia VPHEL1 ho configurato solo questa regola che funziona correttamente, che è stata creata automaticamente dopo aver fatto un port forwarding

Mentre nell'interfaccia LAN ci sono queste regole.

Specifico che sono stato attento anche all'ordine mettendo le regole in Pass prima di quelle in block.

Mrtt

jimmi
Come destinazione devi mettere la classe della VPN se non vuoi che la attraversino completamente, oppure specifichi un indirizzo IP, appartenente alla classe della VPN, che non vuoi sia raggiunto.

jimmi

Mrtt Quindi, l'interfaccia VPNHEL1 ha come indirizzo ip statico 10.1.2.2.
In realtà gli indirizzi IP della VPN a cui faccio accesso sono sulla classe 10.1.1.0/24
Quindi devo mettere come destination questa classe?

Non funziona.... riesco ancora a pingare 10.1.1.1 (host remoto in VPN) dal router 10.10.10.1

Scusate l'ignoranza, ma non è che la classe 10.1.1.0/24 il firewall non la vede in quanto il traffico viene routato tutto attraverso il NAT in uscita sull'interfaccia VPNHEL1 con ip 10.1.2.2?

Guardando gli states l'unica volta che appare l'indirizzo IP della LAN è il caso in cui ho fatto il port forwarding.

Mrtt

jimmi
Scusa, ma il NAT deve essere applicato ai pacchetti che escono sulla WAN, non sulla VPN.
Se facessi source Nat sull'interfaccia VPN avresti sul firewall tutti i pacchetti in transito con sorgente l'IP nattato e non puoi discriminare cosa abilitare o meno

jimmi

Grazie, quindi come dovrei configurarlo?

Mrtt

jimmi
Disabilita la regola

jimmi

Diciamo che ho risolto in questo modo con queste regole avendo cura nel selezionare il gateway della VPN:

Mrtt

jimmi
Non vedo differenze tra mettere il gateway o meno sulle due regole, le VPN_NETS saranno raggiungibili solo tramite VPN e non in altro modo... ma con il NAT cosa hai fatto, lasciato come era?

jimmi

Mrtt Si esatto.

Mrtt

jimmi
Non vedo come, avendo lasciato il NAT verso la VPN e aggiunto un gateway su quelle regole, possa essere cambiato qualcosa...

Feybio

Ciao @jimmi scusa il disturbo ma non so come scriverti in privato, mi interessa molto la tua config TIM 2.5 + pfSense visto che io vorrei realizzare una cosa simile con OPNsense.
Riesci a sfruttare tutta la banda della linea? che caratteristiche ha il tuo pc pfSense? Baremetal o Proxmox?
Scusa delle tante domande e grazie mille

jimmi

Feybio Sì riesco a sfruttare tutta la banda senza problemi e senza portare la CPU a più del 50%.
Sto usando un fanless preso su aliexpress con CPU N5105 e 4x RJ45 i226.
pfSense è in baremetal.
Per ora molto soddisfatto!

Questo è uno speedtest, considera che non ho mai superato i 2150 mbit, ma credo per un problema di saturazione della scatola di derivazione.

https://www.speedtest.net/result/15583268886.png

https://forum.fibra.click/d/41348-hardware-firewall-opnsense-baremetal-o-vm/2

Feybio

Grazie per le info,
io ho un J6412 con 16GB DDR4 e 4x i225-v 2.5Gbe ma ho letto in giro che le i225 non sono un granchè... infatti ho rinunciato a far girare opnsense su proxmox, ho più riscontri positivi in baremetal, sto eseguendo un pò di test con Iperf3.
Tra WAN e LAN su PC widows 10 connesso con scheda a 10Gb arrivo a 2.37Gb/s ma noto che non è costante.
Ho provato anche i vari tunables ma di più non spinge...

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile