Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2653 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Paketfilterregeln bei v8 mit VPN und dem "Internet" Objekt

morontv
Einen schönen guten Tag,
 
wir haben hier eine sehr seltsame Entwicklung in den Packetfilterregeln der v8 festgestellt. 
In V7 ist es so, dass das "Internet"-Objekt nur für die öffentlichen IPs hinter dem "external (WAN)" Interface gelten, jedoch nicht für IPsec Regeln. 
Bsp:
 
 
Regel 1: "Internal Network"-> any -> "Internet"
Regel 2: "Internal Network" -> HTTP -> "VPN1_Network"
 
Das Resultat bei V7 ist, dass man überal ins Internet kommt, in das VPN jedoch nur über HTTP, bei anderen Verbindungen greift, wie erwartet die default Drop Regel
Das Resultat bei V8 ist, dass das "Internet"-Objekt AUCH für Verbindungen in das VPN gilt und man trotzdem überall in das VPN1 kommt.
 
Wir haben es hier intern mit einer Hardware ASG120 nach einem upgrade von v7 auf v8 und einer frisch installieren Software Astaro v8.003 und v8.1 getestet und bei allen tritt das gleiche Problem auf.


This thread was automatically locked due to age.
Parents
  • 0
    Denke das dürfte so nicht sein. Das Verhalten der V7 ist meiner Meinung nach das richtige.

    In der Definition des "Interent" Objekts steht bei V7:
    "Any" network, bound to interfaces with default gateway


    Bei V8:
    Any network restricted to uplink interfaces


    Was zeigt die ASG denn als "Bound to" an von der "Internet" Definition?
Reply
  • 0
    Denke das dürfte so nicht sein. Das Verhalten der V7 ist meiner Meinung nach das richtige.

    In der Definition des "Interent" Objekts steht bei V7:
    "Any" network, bound to interfaces with default gateway


    Bei V8:
    Any network restricted to uplink interfaces


    Was zeigt die ASG denn als "Bound to" an von der "Internet" Definition?
Children
  • 0 in reply to UrsWeiss

    Was zeigt die ASG denn als "Bound to" an von der "Internet" Definition?


    Das "Internet-Objket" ist hier (v8.100) an das DSL-Interface gebunden, lässt sich (sinnvollerweise) auch nicht ändern.

    Da bei der v8 In-Kernel-IPSec zum Einsatz kommt werden die entpackten/entschlüsselten IPSec-Pakete, die am externen Interface ankommen dort wieder ins System eingespeist -- ein tcpdump auf der ppp0-Schnittstelle zeigt das sehr gut.

    Mit ausgehenden Paketen läuft es genauso. Diese sieht man einmal im Klartext auf der ppp0-Schnittstelle und dann nochmal in ESP-Paketen verpackt.

    Dadurch fällt der eigentlich interne VPN-Traffic mit in die Zuständigkeit des Internet-Objekts, und das ist irgendwie suboptimal. [:(]

    Da das ASG aber die an den SAs beteiligten Subnetze alle kennt wäre es schön, wenn Pakete die innerhalb der SAs fließen (kann man ja anhand Dst- und Src-Übereinstimmungen gut feststellen) vom "Internet Objekt" ignoriert werden würden.