Wireguard VPN Firewallregeln

Es gibt 2 Antworten in diesem Thema, welches 389 mal aufgerufen wurde. Der letzte Beitrag () ist von SaschaQ.

    Hallo zusammen,


    ich habe in meinem Netzwerk einige VLANs im Einsatz, die auch mit den Standard Firewallregeln abgesichert sind. Nun habe ich folgende Frage:


    Ich habe die Regel blockiere alle internen VLAN Verbindungen.


    Wenn ich mich nun per Wireguard verbinde, bekommt mein Gerät eine IP 192.168.3.X. Das VPN hat keine Freischaltungsregeln, sodass jeder Zugriff in andere VLANs eigentlich geblockt werden müsste.

    Ich komme wenn ich mich per Wireguard verbinde in jedes VLAN ohne zusätzliche Freischaltung in der FW. Ist das korrekt oder läuft das bei VPN anders?


    Viele Grüße

    Sascha

    SaschaQ

    Das ist so normal, weil in der Client Konfiguration allowed-ips 0.0.0.0/0 oder 0.0.0.0/1 plus 128.0.0.0/1 drin ist, sprich der Client alles darein bläst und Wireguard kein lokales Netzwerk in klassischem Sinn für die UDM ist.

    Wireguard ist in der Firewall bei INTERNET_* eingebunden. Wenn man nur auf ein bestimmtes Netz zugreifen soll, geschweige denn über den Tunnel und die UDM ins Internet gehen will, dann kann man "Security by Obscurity" machen und allowed-Ips nur das gewünschte Netzwerk plus Tunnel IP eintragen.


    Habs noch nie ausprobiert aber.

    Du müsstest theoretisch bei INTERNET_IN eine Regel erstellen mit Drop, Source = die Wireguard Client IP aus dem Wireguard Netz, Destination = Was immer Du sperren willst, da geht also auch network einzustellen und dann eines der Netzwerke auszuwählen. Selbstverständlich wie immer mit Profile IP Groups kombinierbar oder auch eine geeignete Mischung von Allow und Drop um ans Ziel zu kommen.


    Alternativ könnte auch das verwenden von LAN_OUT Firewallregeln gehen.


    Einziger Nachteil halt, dass der Traffic den man dropt, schon übers WAN gekommen ist.