3
Anbindung Home-Office VPN PfSense nur bestimmte Ports
Moin!
Ein Kunde möchte gerne einen Heimarbeitsplatz einrichten.
Ich plane, die Anbindung überVPN mit PfSense (oder OPNSense) am Standort und per FB remote zu machen.
Benötigt wird 1x IP-Telefonie (mit Hardware-Telefon) und RDP.
Dazu wird wohl ein Site2Site-VPN mit der FB nötig.
Aber: Um unnötigen Traffic (Angriffsszenarios von Smartphones /Gästen / einem infizierten Client etc.) auszuschliessen, möchte ich den Traffic auf dem IPSec-Interface der PfSense auf RDP und SIP/RTP der autorisierten Clients begrenzen.
Sollte doch gehen, oder? Rules setzen mit Client-IP's und Ports und Ruhe ist?
Oder habe ich was relevantes vergessen?
e mare libertas!
Buc
Ein Kunde möchte gerne einen Heimarbeitsplatz einrichten.
Ich plane, die Anbindung überVPN mit PfSense (oder OPNSense) am Standort und per FB remote zu machen.
Benötigt wird 1x IP-Telefonie (mit Hardware-Telefon) und RDP.
Dazu wird wohl ein Site2Site-VPN mit der FB nötig.
Aber: Um unnötigen Traffic (Angriffsszenarios von Smartphones /Gästen / einem infizierten Client etc.) auszuschliessen, möchte ich den Traffic auf dem IPSec-Interface der PfSense auf RDP und SIP/RTP der autorisierten Clients begrenzen.
Sollte doch gehen, oder? Rules setzen mit Client-IP's und Ports und Ruhe ist?
Oder habe ich was relevantes vergessen?
e mare libertas!
Buc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 358227
Url: https://administrator.de/contentid/358227
Printed on: April 24, 2024 at 19:04 o'clock
3 Comments
Latest comment
Hi,
Funktioniert so.
Ich empfehle auch noch ICMP mit log der autorisierten Clients zu erlauben.
Kann die Einrichtung bzw. Fehlersuche erleichtern.
CH
Funktioniert so.
Ich empfehle auch noch ICMP mit log der autorisierten Clients zu erlauben.
Kann die Einrichtung bzw. Fehlersuche erleichtern.
CH
Oder habe ich was relevantes vergessen?
Nein, hast du nicht ! Das ist der klassische (und richtige) Weg.Tip um das wasserdicht zu bekommen:
Richte für das Telefon und den RDP Rechner eine statische Mac zu IP Zuordnung auf der FB ein. Damit kannst du dann die VPN ACL auf der Firewall dichtziehen bis auf diese 2 Adressen die wirklich rübersollen. Wenn du im Layer 4 auch noch die Dienste festlegst und zusätzlich die Zieladressen kommt nichts anderes mehr rüber.
Ob man ICMP zulässt ist Geschmackssache. Spieler animiert sowas nur wenn sie irgendwo per Ping was finden. Besser also auch blocken wenn das VPN soweit rennt.
Danke!
