Project

General

Profile

action #54860

Firewall: NAT Rules for inbound Routing via VPN are missing.

Added by flacco 10 months ago. Updated 2 days ago.

Status:
Closed
Priority:
Normal
Assignee:
Category:
-
Target version:
Start date:
2019-07-30
Due date:
2020-06-01
% Done:

100%

Estimated time:
Duration: 220

Description

It seems to be impossible to reach hosts inside the internal net via OpenVPN Connections.

To set them manually the following commands are necessary:

firewall-cmd --direct --permanent --add-rule ipv4 nat POSTROUTING 0 -o intern -j MASQUERADE
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i vpn -o intern -j ACCEPT
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i intern -o vpn -m state --state RELATED,ESTABLISHED -j ACCEPT

Untestet yet.

direct.xml (384 Bytes) direct.xml EDV_Lotse, 2019-07-30 14:12

History

#1 Updated by EDV_Lotse 10 months ago

Ich habe gerade getestet: es funktioniert.
Die Befehle haben eine Datei /etc/firewalld/direct.xml erzeugt.
Kann man das Gleiche über Konfigurationsdateien erreichen?

#2 Updated by flacco 10 months ago

  • Status changed from New to In Progress
  • % Done changed from 0 to 20

Das war der Plan. Kannst Du die Datei mal hier ans Ticket anhängen?

#3 Updated by EDV_Lotse 10 months ago

  • File direct.xml direct.xml added
  • Status changed from In Progress to Workable
  • % Done changed from 20 to 0

#4 Updated by flacco 10 months ago

  • Status changed from Workable to In Progress
  • % Done changed from 0 to 20

#5 Updated by flacco 10 months ago

  • Status changed from In Progress to Feedback

Ja, die Datei können wir einfach ins Setup integrieren. Ich bin nur am überlegen, ob wir das pauschal im sine2 Modul firewall machen oder im Modul openvpn. Früher war openvpn mal ein optionales Modul, es hätte also Sinn gemacht, die Firewall Erweiterung nur dann einzurichten, wenn openVPN au genutzt wird.

Aktuell ist openvpn nicht optional, also wäre der erste Weg auch ok.

Was denkt Ihr?

#6 Updated by ingogoeppert 10 months ago

vpn steht in der Liste der internen Devices. Mir ist nicht klar warum man da überhaupt extra Regeln dafür braucht. Sollte zwischen den internen nicht eh alles erlaubt sein? Woher kommen die Befehle?

#7 Updated by flacco 10 months ago

  • % Done changed from 20 to 30

Das hatten wir im alten SUSEfirewall2 Setup auch drin, nannte sich "Classrouting", also NAT zwischen zwei internen Devices.

Die Befehle hab ich mit Googles Hilfe gefunden. Ich hatte das gleiche Problem wie Dimitri allerdings nicht auf einem invis-Server.

#8 Updated by ingogoeppert 10 months ago

  • Target version changed from 14.1 to 14.2

#9 Updated by flacco 9 months ago

Ich habe mal die alten Konfigurationen aus unserem SuSEfirewall2 Setup herausgesucht:

-> Wir haben die VPN-Netzwerkschnittstelle der internen Zone zugeordnet:
FW_DEV_INT="intern vpn"

-> Wir haben für das VPN-Netz Masquerading aktiviert
FW_MASQ_NETS="192.168.166.0/24"

-> Wir hatten Classrouting für die interne Zone aktiviert:
FW_ALLOW_CLASS_ROUTING="int"

Das dürfte in etwa auf das heraus laufen, was ich mit den oben genannten zusätzlichen Regeln für den firewalld erreiche.

#10 Updated by flacco 8 days ago

  • Due date set to 2020-06-01

#11 Updated by flacco 7 days ago

Wir sollten mal mit folgenden Regeln testen:

<?xml version="1.0" encoding="utf-8"?>
<direct>
<rule ipv="ipv4" table="filter" chain="FORWARD" priority="0">-i vpn -o intern -j ACCEPT</rule>
<rule ipv="ipv4" table="filter" chain="FORWARD" priority="0">-i intern -o vpn -j ACCEPT</rule>
</direct>

Mit dem ersten Satz könnte es Probleme NFS-Zugriffen geben.

#12 Updated by flacco 7 days ago

  • % Done changed from 30 to 40

#13 Updated by flacco 3 days ago

  • % Done changed from 40 to 60

direct.xml added to invis-setup

#14 Updated by flacco 2 days ago

  • Status changed from Feedback to Closed
  • % Done changed from 60 to 100

testet!

Done

Also available in: Atom PDF