pfSense- Hulp Firewall rules voor wel en niet gebruiken VPN - Netwerken

zaterdag 23 juni 2018 00:48

Acties:

Topicstarter

Beste,

Ik ben opzoek naar sturing en hulp m.b.t. firewall rules.

N.a.v. o.a. deze guides:
https://www.techhelpguide...te-pfsense-openvpn-guide/
https://nguvu.org/pfsense/pfsense-multi-vpn-wan/

heb ik meerdere verbindingen met NordVPN aangemaakt en als GatewayGroup samengevoegd.

Afbeeldingslocatie: https://tweakers.net/ext/f/eAncBa4psQ9f2H49L1940ezz/thumb.jpg

In het voorbeeld van AirVPN gebruiken ze meerdere Server port's maar bij NordVPN is UDP beperkt tot 1194 en TCP tot 443. (contact met NordVPN over gehad en bevestigd)

Dit betekend neem ik aan dat ik maximaal 2 verbindingen tegelijk actief kan hebben? Dit lees ik iig wel af van de monitor.

Afbeeldingslocatie: https://tweakers.net/ext/f/PRY62yzjzn1czBZ6LXQT2FR3/thumb.jpg

Nu heb ik nav de 1e guide twee firewall rules aangemaakt:

Afbeeldingslocatie: https://tweakers.net/ext/f/yStOLdG7C2ho91XHqvyP3muc/thumb.jpg

Volgens de guide maak ik twee alias groepen aan:

Computers_Destined_For_VPN - hierin definieer ik de IP-adressen welke via de VPN moeten lopen
Domains_To_Bypass_VPN - Hierin definieer ik adressen zoals Netflix die sowieso niet via de VPN moeten lopen

Het resultaat is dan ook precies zoals bedoeld, de IP-adressen welke in het alias voorkomen lopen netjes via de VPN.
DNS-leaktest, Speedtest etc laten de DNS en IP van de NordVPN server zien en als test heb ik ook www.watismijnip.nl toegevoegd aan 'Domains_To_Bypass_VPN' en hier zie ik mijn ISP IP.

Het enige waar ik nu tegen aan loop is het volgende:
Alle IP-adressen welke niet in het alias staan, krijgen helemaal geen websites. Dit zal vast komen door een firewall rule maar ik loop hierop vast...

Ik wil niet elke keer als ik een nieuw apparaat op de wifi gooi hem moeten toevoegen aan een alias.

Wat ik dus wil bereiken:

IP-adressen in alias 'Computers_Destined_For_VPN' moeten via de VPN lopen.
IP-adressen welke niet in een alias staan gewoon via mijn eigen netwerk naar buiten maar wel de DNS gebruiken van de VPN provider.

Extra info:

Geen DNS ingevuld via de DHCP-server en General Setup
Ik gebruik ook een OpenVPN server om van buitenaf mijn LAN te benaderen, deze heeft via de OpenVPN wizard automatisch een Firewall rule aangemaakt voor WAN.

Als er meer info nodig is hoor ik het graag!

zaterdag 23 juni 2018 08:41

Acties:

ik222

Wat is de default gateway op je pfSense? In de laatste fallback regel specificeer je die niet dus dan gaat pfSense kijken naar je routing table.

En wat betreft DNS, hoe regel je welke DNS gebruikt wordt? Heb je DNS servers die je wilt in je pfSense staan als forward hosts? Als je bij de DHCP server niets invult geeft pfSense namelijk standaard zijn eigen IP als DNS aan de clients en heeft dan standaard een forwarder naar de in pfSense geconfigureerde DNS servers.

zondag 24 juni 2018 02:11

Acties:

CollisionNL

Topicstarter

ik222 schreef op zaterdag 23 juni 2018 @ 08:41:
Wat is de default gateway op je pfSense? In de laatste fallback regel specificeer je die niet dus dan gaat pfSense kijken naar je routing table.

Ik neem aan mijn WAN toch? Als hij de LAN rule op Default staat verwijst hij toch altijd hier naar? Of moet ik dan in die rule hem specifiek selecteren? Zie foto's:

Afbeeldingslocatie: https://tweakers.net/ext/f/MeWZQ8nBpoHKgDwT7SlACGKe/thumb.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/RH8lZHtvMauAzAKbPDNhH62q/thumb.jpg

En wat betreft DNS, hoe regel je welke DNS gebruikt wordt? Heb je DNS servers die je wilt in je pfSense staan als forward hosts? Als je bij de DHCP server niets invult geeft pfSense namelijk standaard zijn eigen IP als DNS aan de clients en heeft dan standaard een forwarder naar de in pfSense geconfigureerde DNS servers.

Volgens de tutorial hoef je geen DNS toe te voegen en loopt het altijd via de DNS van de VPN.

Zodra ik bij de LAN rule de gateway verander van Default naar WAN DHCP, kan ik wel gewoon met mijn toestellen welke niet in de alias voorkomen surfen en als krijg ik via DNSleaktest ook de DNS van de VPNprovider te zien maar is dit wel de juiste weg?

zondag 24 juni 2018 09:13

Acties:

ik222

Nee dat is niet per definitie je WAN, dat ligt helemaal aan je route tabel. En ja normaal heb je bij een simpele LAN / WAN setup enkel een default route via je ISP op de WAN interface, maar ik vermoed in jou geval dat je er meerdere hebt met al die tunnels. Je kunt je route tabel zien via Diagnostics->Routes

En voor wat betreft DNS, waarschijnlijk pusht de VPN provider die dan dus waardoor pfSense ze inderdaad als forward host gaat gebruiken. Je clients hebben dan pfSense als DNS en die zet alles door naar de DNS van je VPN provider. Dat is verder onafhankelijk van waar het verkeer heen gaat.

zondag 24 juni 2018 16:58

Acties:

CollisionNL

Topicstarter

@ik222 Onder Diagnostics/Routes staat bij default het IP adres wat ik van mijn ISP heb gekregen. Is dit wel goed dan? De apparaten welke niet via de VPN lopen gebruiken dus nu de WAN_DCHP xx.xx.xx.xx Interface WAN_DHCP Gateway.

Afbeeldingslocatie: https://tweakers.net/ext/f/w97DoIOCBmEa4ALnLPVHSQ6U/thumb.jpg

zondag 24 juni 2018 20:50

Acties:

ik222

Als het goed is zou de default route inderdaad de route moeten zijn die je van je ISP hebt gekregen. Weet je zeker dat er niet meer default of 0.0.0.0/0 routes staan in je route tabel?

Wat je nu doet om het te laten werken is policy based routing voor al je verkeer (door de gateway in de allow regels aan te geven). Zodra je dat uitzet werkt het niet meer wat dus betekent dat je route tabel niet klopt.

zondag 24 juni 2018 21:25

Acties:

CollisionNL

Topicstarter

@ik222 Zie afbeelding hieronder. Kan jij er naar kijken?

Afbeeldingslocatie: https://tweakers.net/ext/f/8tX1eqgUf18BmHWBVYEdfaFa/thumb.jpg

10.8.8.X is UPD van NordVPN
10.7.7.X is TCP van NordVPN

zondag 24 juni 2018 21:43

Acties:

ik222

Die 0.0.0.0/1 route is vreemd, dat betekent dat de helft van het internet die route volgens de route tabel neemt in plaats van de gateway van je ISP.

Heb je dat soms als remote subnet opgeven bij die TCP VPN? Het is als ik je configuratie goed lees uit de screenshots namelijk de gateway van die VPN waar hij heen wijst.

Als je het wilt laten werken zoals jij wilt moet die route eruit.

zondag 24 juni 2018 21:58

Acties:

CollisionNL

Topicstarter

@ik222 Ik zie het... Heel vreemd. Pas als ik de TCP VPN's disable en uit de GWgroup haal verdwijnt die 0.0.0.0 route... Waar zou dit kunnen zitten.

Edit: na het terug wijzigen van de gateway in de LAN rule naar default doen de apparaten het ook weer rechtstreeks. Daar zit dus het probleem.

[ Voor 33% gewijzigd door CollisionNL op 24-06-2018 22:00 ]

zondag 24 juni 2018 22:08

Acties:

ik222

Zet anders eens het vinkje aan bij "Don't pull routes" op die TCP VPN clients. Als de route dan niet meer verschijnt is het simpelweg een route die NordVPN pusht en met die optie kun je dus voorkomen dat pfSense die routes laadt (dat wil je namelijk niet in jou setup)

[ Voor 4% gewijzigd door ik222 op 24-06-2018 22:09 ]

zondag 24 juni 2018 22:33

Acties:

CollisionNL

Topicstarter

@ik222 Het werkt! Thanks alot.

Als het goed is staat alles nu dus goed?
Alles wat via de VPN moet, loopt via de VPN en alles wat dat niet moet gebruikt mijn DNS resolver welke ingesteld staat op de DNS van de VPN provider.

Super bedankt!

zondag 24 juni 2018 22:46

Acties:

ik222

Klopt inderdaad, mooi dat alles nu goed werkt

zondag 24 juni 2018 23:24

Acties:

CollisionNL

Topicstarter

@ik222 Nog 1 vraagje. Ik draai een OpenVPN-server waar ik met mijn mobiel en laptop op kan verbinden als ik buiten de deur ben. Deze staat op de zelfde poort als de NordVPN client, namelijk 1194. Toen ik net mijn pfSense avontuur begon heb ik deze aangemaakt maar niet meer over nagedacht. Kan dit voor problemen zorgen? Of kan ik beter een andere port gebruiken?

Ik stuur dan al mijn traffic via deze tunnel maar krijg als ik nu een dnsleaktest doe wel 30 google IP-adressen te zien. Dan staat er waarschijnlijk iets niet goed in de firewallrule van de OpenVPN server denk ik?

maandag 25 juni 2018 07:25

Acties:

ik222

Dezelfde poort zal geen enkel probleem zijn, voor je DNS client is dat de destination poort (je pcSense verbindt dus met een random source poort op poort 1194 van de NordVPN servers). En voor jou server is dat juist de source poort (clients verbinden met een random source poort op je pfSense poort 1194). Dat bijt elkaar dus niet.

Voor wat betreft VPN en DNS, je moet je VPN dan nog zo instellen dat jij zichzelf als DNS pusht voor VPN clients. Die optie heeft volgens mij "Provide DNS server list tot clients" in je OpenVPN server configuratie.

maandag 25 juni 2018 08:40

Acties:

CollisionNL

Topicstarter

@ik222

Ik zie het volgende:

Afbeeldingslocatie: https://tweakers.net/ext/f/Qmb6RC0AlRu1rjVNVtFmx2QI/thumb.jpg

DNS server enable?

maandag 25 juni 2018 09:46

Acties:

ik222

Ja precies, dat vinkje voor "DNS server enable" moet je aanzetten en dan gebruiken je VPN clients ook je pfSense als VPN server die het op zijn beurt doorzet naar de DNS servers van je VPN provider.

maandag 25 juni 2018 21:36

Acties:

CollisionNL

Topicstarter

@ik222 Vinkje aangezet en na Save zet hij hem zelf weer uit..

maandag 25 juni 2018 22:30

Acties:

ik222

Vreemd, enige wat ik kan bedenken is een andere browser proberen.

Want als het bijvoorbeels conflicteert met een andere setting zou ik een foutmelding verwachten.

[ Voor 46% gewijzigd door ik222 op 25-06-2018 22:31 ]