[PfSense]Aiuto regole lan

O_RusS · 25-03-2020, 17:44

Buonasera,
ho un problema che mi sta facendo impazzire ultimamente, houn firewall Dell sonicwall (gateway 192.168.1.1)su cui ho creato una vpn ssl e riesco ad accedere in vpn alle macchine dell'ufficio tramite rdp.
Ho pero anche un Gateway PfSense che appunto mi fa da gateway e proxy per le subnet.
L'ip del gateway è 192.168.10.254, quindi se tento ti accedere alle macchine con gateway del firewall accedo, mentre se una macchina server ha il gateway 192.168.10.254 non riesco ad accedere in vpn.
ho provato tutte le regole di accesso possibile loggando da pfsense la connessione, ma senza successo... avete idee?
Vi metto il disegno della rete

Kaya · 26-03-2020, 08:33

Ma alla pfsense arriva del traffico se provi a collegarti?
A naso direi che è il sonicwall che non ha le regole per instradare verso la subnet .10.X e quindi non sa dove mandare i pacchetti (o forse nelle regole della stessa VPN droppa tutto quello che non è diretto alla rete 10.0.X.X)

Io però non ho capito per quale motivo hai messo un ulteriore firewall/proxy a metà tra le due reti. Non potevi far fare tutto a un dispositivo?

O_RusS · 26-03-2020, 11:34

Pfsense è il proxy server e gateway aziendale, fa da gateway alle 3 subnet, e in più mi gestisce una subnet guest.
Se loggo il traffico sul firewall di pfsense vedo che ci sono tentativi di accesso bloccati dal ip della vpn su una macchina interna in rdp ti faccio l esempio

Traffico lan - source 192.168.10.x:3389 (ip server porta rdp) destination: 10.10.10.x:6644(ip vpn soket allocati random)

Se aggiungo la regola rapida da pfsenSe non cambia niente.
È comunque stata definita una regola per cui esce tutto il traffico verso la wan

Ti ripeto se cambio gateway al server mettendo quello del sonocwall funziona tutto,è pfsense che blocca

Kaya · 26-03-2020, 12:09

Ti suggerirei a questo punto di aprire tutto quello che è traffico che proviene dalla vpn e piuttosto andare dopo a "filtrare"
Anche perchè con le regole abilitate dai log devi considerare che prende anche il campo porta, che è random a ogni tentativo

O_RusS · 26-03-2020, 13:39

Provato a creare una regola “any” in ingresso e in uscita, niente

Kaya · 26-03-2020, 15:22

Mi verrebbe da dire che non hai le regole di NAT impostate correttamente.
Dovresti loggare un po di traffico e vedere cosa succede (tcpdump o wireshark per dire)

25-03-2020, 17:44	#1
O_RusS Senior Member Iscritto dal: Dec 2006 Città: Napoli - Fuorigrotta Messaggi: 1952	[PfSense]Aiuto regole lan Buonasera, ho un problema che mi sta facendo impazzire ultimamente, houn firewall Dell sonicwall (gateway 192.168.1.1)su cui ho creato una vpn ssl e riesco ad accedere in vpn alle macchine dell'ufficio tramite rdp. Ho pero anche un Gateway PfSense che appunto mi fa da gateway e proxy per le subnet. L'ip del gateway è 192.168.10.254, quindi se tento ti accedere alle macchine con gateway del firewall accedo, mentre se una macchina server ha il gateway 192.168.10.254 non riesco ad accedere in vpn. ho provato tutte le regole di accesso possibile loggando da pfsense la connessione, ma senza successo... avete idee? Vi metto il disegno della rete __________________ : iM_TaN6o Perche scegliere un Mac By blissett

26-03-2020, 11:34	#3
O_RusS Senior Member Iscritto dal: Dec 2006 Città: Napoli - Fuorigrotta Messaggi: 1952	Pfsense è il proxy server e gateway aziendale, fa da gateway alle 3 subnet, e in più mi gestisce una subnet guest. Se loggo il traffico sul firewall di pfsense vedo che ci sono tentativi di accesso bloccati dal ip della vpn su una macchina interna in rdp ti faccio l esempio Traffico lan - source 192.168.10.x:3389 (ip server porta rdp) destination: 10.10.10.x:6644(ip vpn soket allocati random) Se aggiungo la regola rapida da pfsenSe non cambia niente. È comunque stata definita una regola per cui esce tutto il traffico verso la wan Ti ripeto se cambio gateway al server mettendo quello del sonocwall funziona tutto,è pfsense che blocca __________________ : iM_TaN6o Perche scegliere un Mac By blissett Ultima modifica di O_RusS : 26-03-2020 alle 11:37.

26-03-2020, 13:39	#5
O_RusS Senior Member Iscritto dal: Dec 2006 Città: Napoli - Fuorigrotta Messaggi: 1952	Provato a creare una regola “any” in ingresso e in uscita, niente __________________ : iM_TaN6o Perche scegliere un Mac By blissett

26-03-2020, 08:33	#2
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 3279	Ma alla pfsense arriva del traffico se provi a collegarti? A naso direi che è il sonicwall che non ha le regole per instradare verso la subnet .10.X e quindi non sa dove mandare i pacchetti (o forse nelle regole della stessa VPN droppa tutto quello che non è diretto alla rete 10.0.X.X) Io però non ho capito per quale motivo hai messo un ulteriore firewall/proxy a metà tra le due reti. Non potevi far fare tutto a un dispositivo?

26-03-2020, 12:09	#4
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 3279	Ti suggerirei a questo punto di aprire tutto quello che è traffico che proviene dalla vpn e piuttosto andare dopo a "filtrare" Anche perchè con le regole abilitate dai log devi considerare che prende anche il campo porta, che è random a ogni tentativo

26-03-2020, 15:22	#6
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 3279	Mi verrebbe da dire che non hai le regole di NAT impostate correttamente. Dovresti loggare un po di traffico e vedere cosa succede (tcpdump o wireshark per dire)

Strumenti
Mostra una versione stampabile Invia questa pagina per email