Citat:
Ursprungligen inskrivet av ASBR
Om man som du gjorde sätter full åtkomst i brandväggen för PPTP-interfacet, vad blir det då som gäller i praktiken?
Slås de reglerna ihop med reglerna för interfacet som man styr in PPTP i, så att de mest restriktiva gäller
Hej.
Inkommande trafik på respektive gränssnitt hanteras utav respektive regler. Sedan kommer brandväggen att testa en regel åt gången räknat från den översta och därefter jobbar den sig neråt i listan tills en regel matchar trafiken. Där verkställs regeln och sedan kontrolleras inte nedanstående regler i listan på detta paket. Skulle det däremot inte existera någon regel som tillåter trafiken som kan matchas till paketet, så kommer paketet att kastas.
Exempel: Någon från ort A skall åt en resurs på ort B via VPN. Har byggt detta med hjälp av IPSEC i pfSense.
0. Trafiken har skickats från kontor A och kommit fram till kontor B. Snart är den på WAN sidan hos pfSense.
1. När inkommande trafik(vi håller oss på samma nivå som IP eller högre upp) kommer in på WAN gränssnittet(UDP och ESP) så kommer reglerna för WAN gränssnittet att kontrolleras. Då finns där två regler, ett som tillåter ESP protokollet och ett som tillåter UDP som ligger i internetprotokollet. I detta fall port 500. Brandväggen tillåter trafiken in och IPSEC demonen(tror det är en "tvättbjörn" som ligger i pfSense, säkert samma i m0n0wall) får trafiken.
2. IPSEC programmet gör sitt med paketet(kontrollerar, dekrypterar, whatever...).
3. Därefter så kommer det färdiga paketet och slängas in på det virtuella gränssnittet IPSEC(i ditt fall PPTP).
4. Nu kommer brandväggen att kontrollera om paketet från kontor A får lov att härja hos kontor B. Nu tittar brandväggen i reglerna som finns inskrivna under IPSEC. Om där inte finns någon tillåtande regel som matchar så kommer paketet att kastas. I princip görs samma sak som vid punkt 1.
5. Om allt gick bra så är paketet nu utanför brandväggen och letar sig fram till sitt slutmål hos kontor B.
!. Där finns egentligen fler saker som inträffar på vägen.
Det du skall kontrollera är att du tillåter inkommande trafik på TCP port 1723 och GRE(används utav PPTP). Sedan behöver du verifiera reglerna på LAN kortet så att trafik från B-->A tillåts. Normalt så finns där en regel som tillåter allt som kommer in på LAN gränssnittet att få komma vidare ut. Sedan kommer reglerna på PPTP gränssnittet. Mellan kontor så brukar man sällan spärra något så där kan du skapa en regel som tillåter allt på alla protokoll.
Där var någon anledning till att jag skippade PPTP mellan kontoren och valde att köra IPSEC. Kommer inte på vad det var. Jag har däremot kört PPTP när jag skulle styra en fjärrdator som använder sig utav Telias 3G tjänst från en annan fjärrdator som också använder sig utav Telias 3G tjänst. Då startade jag en PPTP server på pfSense och vi anslöt oss via VPN till den och då kunde jag tar över hans dator när jag också befann mig ute på fältet. Telias 3G tjänst har nämligen inte portar öppna för att tillåtna inkommande trafik som initierats från utsidan. Därav kunde jag inte rigga upp en fungerande VPN server på enbart en av datorerna för att lösa uppgiften.
Hoppas jag har förstått ditt problem och att detta kan vägleda dig i rätt riktning.
Besvarar några frågor rakt av:
Citat:
Ursprungligen inskrivet av ASBR
Om man som du gjorde sätter full åtkomst i brandväggen för PPTP-interfacet, vad blir det då som gäller i praktiken?
All trafik som kommer i VPN tunneln från A till B tillåts.
Citat:
Ursprungligen inskrivet av ASBR
Slås de reglerna ihop med reglerna för interfacet som man styr in PPTP i, så att de mest restriktiva gäller?
Nej, PPTP reglerna tillämpas.
Citat:
Ursprungligen inskrivet av ASBR
Tex du konfar att PPTP ska tilldelas adresser i 192.168.1.0 /24, som är redan använt LAN och har diverse firewallregler...slås då reglerna för det LAN'et ihop med reglerna för PPTP? Eller blir det alltid "allow all" om man väljer det för PPTP, oavsett var man väljer att "kasta in" klienterna?
LAN reglerna tillämpas inte eftersom trafiken från klienterna kommer in på PPTP. Enbart trafik som kommer in på ett gränssnitt kontrolleras. I detta fall så kommer trafiken in på WAN och PPTP. Däremot så går trafiken ut på LAN(om inga andra vägar leder den till t.ex ett OPT gränssnitt). Så, trafik ut från ett gränssnitt kontrolleras ej.