VPN Zugang beschränken

Es gibt 12 Antworten in diesem Thema, welches 746 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo,

    ich habe einen VPN Zugang für einen externen Benutzer eingerichtet. Ich möchte den Zugang aber auf eine destination IP begrenzen. Ich wollte eine Firewall Regel machen, aber das VPN Netz scheint nicht in der Liste auf. Gibt es hier eine Möglichkeit?

    Versuche mal folgendes:

    Unter Profile eine IP Group anlegen, die den Bereich oder die IP des VPN Client hat. Wird vermutlich ja ein VLAN sein.

    Dann sollte dies in den Regeln bei Traffic&Firewall-Regeln nutzbar sein Regeln.

    Ich lasse damit von verschieden Standorte verschiedene Client (TV/Mediaplayer) alle in ein internes VLAN und von dort ins Internet. :winking_face:

    Hi!
    Danke für die raschen Antworten!
    Könnt ihr mir bitte noch bei den Regeln helfen?
    Ich möchte dass die IP 192.168.95.2 (oder das ganze Netz über IP Group) nur auf die IP 192.168.98.10 zugreifen kann. Wie muss ich das machen?

    Bei Unifi dürfen alle in alle Netze. Hier Regeln nach Logik.

    1. Regel Du musst dem Netz ..95.0/24 erst einmal verbieten in alle anderen Netze zu kommen.

    2. Regel Du musst diesem Netz erlauben in das eine Netz/IP-Adresse zu kommen.

    3. Regel Vielleicht auch noch ins Internet.

    Tatsächlich muss wohl Regel 2 vor der Regel 1 stehen. Soweit die FW-Logik bei Unifi, wie ich sie glaube verstanden zu haben. Andere FW-Hersteller agieren da anders. :winking_face:

    Zitat von phino

    Andere FW-Hersteller agieren da anders.

    Aber nur auf die Basis-Logik bezogen: In einer klassischen Firewall ist erst einmal alles geblockt, was nicht explizit freigeschaltet ist. Diesen Zustand könnte man bei Unifi aber im Prinzip über eine einzige Regel herstellen, wenn man möchte.

    Was herstellerübergreifend immer identisch ist: Firewalls arbeiten ihre Regeln von oben nach unten ab, die Reihenfolge des Regelwerks ist also penibel zu beachten.

    Zitat von Networker

    Aber nur auf die Basis-Logik bezogen: In einer klassischen Firewall ist erst einmal alles geblockt, was nicht explizit freigeschaltet ist. Diesen Zustand könnte man bei Unifi aber im Prinzip über eine einzige Regel herstellen, wenn man möchte.

    Was herstellerübergreifend immer identisch ist: Firewalls arbeiten ihre Regeln von oben nach unten ab, die Reihenfolge des Regelwerks ist also penibel zu beachten.

    Eigentlich arbeiten alle FW-Hersteller so. Erst einmal ist alles verboten! Aber Unifi ist halt keine FW, sondern Spielplatz für WLAN.

    Wir hatten vor 10 Jahren mal eine Sonicwall, da waren alle Regeln verkehr herum. Also erst alles verboten und dann kamen die Erlaubnis-Regeln. Das war erst sehr verwirrend und auch anstrengend, wenn man noch "normale" von Astaro/Sophos hat. :winking_face:

    Zitat von phino

    Eigentlich arbeiten alle FW-Hersteller so. Erst einmal ist alles verboten!

    Das habe ich doch genau so geschrieben?


    Dass Sonicwall das Regelset andersherum angeht, wusste ich tatsächlich nicht. Widerspricht auf jeden Fall dem "üblichen Markt", wobei es letztlich natürlich aus technischer Sicht keine Rolle spielt, wie herum man es dreht.

    Letzten Endes ist ist es immer nur eine Frage der Default Rule einer iptables Chain. Die meisten Firewall Hersteller setzen diese eben auf Drop.


    Man kann egal wie rum immer durch Anlegen einer Regel das Verhalten umkehren.

    Zitat von DoPe

    Was ist was?

    VPN Client bzw. VPN Netz ?-> 192.168.95.2 (oder das ganze Netz über IP Group)

    Ziel auf das der Externe zugreifen darf ? -> 192.168.98.10


    Was hast Du bisher in der Firewall konfiguriert ?

    192.168.95.0 ist das VPN Netz
    Dieses Netz soll auf 192.168.98.10 zugreifen können, aber sonst nirgends.
    Ich habe noch keine eigenen Regeln erstellt.

    Dann würde ich ein Profil mit IP Group anlegen z.B. "Alle Wireguard Clients" dort fügst DU dann entweder das ganze VPN Netz hinzu 192.168.95.0/24 oder halt auch nur einzelne Clients mit ihrer IP, die Du beschränken möchtest.


    Dann eine Regel bei LAN OUT, mit dieser steuerst Du, für wen der Zugriff auf den "Server" erlaubt ist



    Dann eine Regel bei LAN OUT, Diese blockt den Zugriff auf alle Netze für die Wireguard Clients.


    Jetzt noch die beiden Regeln in die richtige Reihenfolge schieben (erst den Zugriff aufs Ziel erlauben und dann den Zugriff auf alles blocken)



    Du kannst natürlich auch für die Ziele ein Profil anlegen mit IP Groups. Das ist frei kombinierbar. Verfeinern (weiter einschränken) kann man das noch mit Port Groups, falls z.B. nur Zugriff auf einen Webserver benötigt wird. Dann könntest Du bei der erlaube Regel eine Port Group (mit Port 80,443 oder was immer benutzt wird) bei der Destination mit angeben.


    Zu beachten ist, dass der Wireguard Client noch immer alle IPs des Unifi Gateways erreichen kann!