4
Monowall Firewall Rule für IPsec Tunnel zwingend erforderlich
Hallo zusammen,
habe einen IPsec Tunnel zwischen zwei Monowalls am laufen.
Eigenartigerweise funktioniert dieser auch mit deaktivierten FW Rules auf Port 500 und 4500 sowie ESP.
Darf das sein, oder deutet dies auf ein "Loch" in der Firewall durch ne falsche Einstellung hin???
Habe ansonsten nur eine FW Rule auf 1194 für den OpenVPN Zugang und eine auf Port 25 für Mail Weiterleitung zu unserm Mailserver.
Für eure Antwort schon mal vielen Dank im Voraus.
Mit bestem Gruß
Dominique Gruhn
habe einen IPsec Tunnel zwischen zwei Monowalls am laufen.
Eigenartigerweise funktioniert dieser auch mit deaktivierten FW Rules auf Port 500 und 4500 sowie ESP.
Darf das sein, oder deutet dies auf ein "Loch" in der Firewall durch ne falsche Einstellung hin???
Habe ansonsten nur eine FW Rule auf 1194 für den OpenVPN Zugang und eine auf Port 25 für Mail Weiterleitung zu unserm Mailserver.
Für eure Antwort schon mal vielen Dank im Voraus.
Mit bestem Gruß
Dominique Gruhn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195981
Url: https://administrator.de/contentid/195981
Printed on: April 24, 2024 at 22:04 o'clock
4 Comments
Latest comment
Nein, normalerweise funktioniert das nicht, denn damit würde sowas gegen die fundamentalsten Regeln einer Firewall verstoßen. (Blocke alles was nicht ausdrücklich erlaubt ist !)
Da kann man nur raten das du die Regeln in der falschen Reihenfolge eingegeben hast oder auf einem falschen Interface bist, oder wie häufig sofern vor der FW noch ein Router (kein nur Modem) steht du das Koppelnetz generell freigegeben hast (Allow RFC 1918 networks) auf dem WAN Port.
Kann auch sein, das du bei bestehendem Tunnel die Rules änderst, das beeinträchtigt den bestehenden Tunnel dann erstmal nicht. Erst wenn du ihn wieder neu initiierst.
Eins von diesen Dingen ist es, denn sonst geht es de facto NICHT !
Ist auch logisch, denn es ist ja eine Firewall ! Siehe auch: IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Da kann man nur raten das du die Regeln in der falschen Reihenfolge eingegeben hast oder auf einem falschen Interface bist, oder wie häufig sofern vor der FW noch ein Router (kein nur Modem) steht du das Koppelnetz generell freigegeben hast (Allow RFC 1918 networks) auf dem WAN Port.
Kann auch sein, das du bei bestehendem Tunnel die Rules änderst, das beeinträchtigt den bestehenden Tunnel dann erstmal nicht. Erst wenn du ihn wieder neu initiierst.
Eins von diesen Dingen ist es, denn sonst geht es de facto NICHT !
Ist auch logisch, denn es ist ja eine Firewall ! Siehe auch: IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Ok, dann liegt es daran dass die Regeln während der Tunnel bestand gändert wurden. Werd heute abend mal neustarten und dann probieren wenn der Tunnel nicht gebraucht wird.
Danke für deine Antwort
Danke für deine Antwort
Es gibt auch Systeme, bei denen im Hintergrund automatisch entsprechende Firewallregeln erstellt werden, wenn bestimmte Dienste an ein Interface gebunden werden. Diese nicht editierbaren Systemregeln sind dann häufig auch per Default aus der Regelübersicht ausgeblendet. Bei Fortinet und Sonicwall ist das z.B. teilweise so. Das soll wohl dem Admin das Leben leichter machen. Mir persönlich gefällt soetwas überhaupt nicht - wer keine Ahnung hat, sollte die Finger davon lassen.
Bei pfsense ist das aber meiner Erinnerung nach nicht so (ist allerdings auch schon ein Weilchen her, dass ich mit pfsense gearbeitet habe).
Gruß
sk
Bei pfsense ist das aber meiner Erinnerung nach nicht so (ist allerdings auch schon ein Weilchen her, dass ich mit pfsense gearbeitet habe).
Gruß
sk
Der Einwand ist richtig ! Die Monowall/pfSense macht das auch aber nur bei der Einrichtung von NAT oder Forwarding Adressen. Sie fragt dann aber zusätzlich explizit nach ob sie die Firewall Regeln dynmaisch erstellen soll oder ob der Administrator das manuell machen will. Kollege sk hat hier also Recht.
Die eingehenden Regeln am WAN Port musst du immer explizit selber eingeben.
Dynamisch erstellte Regeln kann man auch immer checken wenn man sich die Port Firewallregeln und deren Hierarchie in den Settings ansieht !
Vertrauen ist gut...Kontrolle besser ! (Gerade bei einer FW !)
Die eingehenden Regeln am WAN Port musst du immer explizit selber eingeben.
Dynamisch erstellte Regeln kann man auch immer checken wenn man sich die Port Firewallregeln und deren Hierarchie in den Settings ansieht !
Vertrauen ist gut...Kontrolle besser ! (Gerade bei einer FW !)
