OpenVPN: VPN Firewall blockt WOL-Pakete

1st Official Post

    Ausgangslage:
    Appliance Mini mit v2.4-0 (kein Update Support mehr)

    Wir haben das Problem, dass wir die VPN-Zugänge aus den Home Offices auf RDP-Sessions begrenzen wollen. Das funktioniert soweit, allerdings bekommen wir es nicht hin, dass WOL-Pakete durchgelassen werden. Pakete an die Broadcast Adresse .255 kommen nicht durch.
    Schalte ich die VPN-Firewall aus, klappt es ohne Probleme.

    Hat jemand eine Idee, wie wir das Problem lösen können?

    • Official Post

    Hi,
    wenn ich mich nicht irre,
    iptables so umschreiben bzw editieren das sie Broadcast durchlassen.
    http://www.linuxquestions.org/questions/linu…essages-781400/

    Aber Vorsicht, ich denke bei neustart ist das wieder weg, sollte man also in ein Startscript setzen.

    gruß Frank

    Endian Authorized Partner

    freaky-media
    Kein Support per PN dafür ist das Forum da.
    Preisanfragen zur Appliance Produkten sind über freaky-media möglich.

    Vielen Dank für die Rückmeldungen. Weil ich gerade wegen einem anderen Projekt keine Zeit habe, haben wir uns externe Hilfe dazu geholt. Der Herr hatte leider von WOL erschreckend wenig Ahnung, wollte zuerst immer auf Basis einzelner Rechner Lösungen finden und musste immer wieder darauf hingewiesen werden, dass WOL über die Broadcast Adresse läuft.
    Er hat diverse Ports getestet, ob UDP 9 dabei war weiß ich nicht. Ich meine mich erinnern zu können, dass ich den Port selbst schon vor längerem erfolglos getestet habe. Nach einigen Tests mit diversen Portfreigaben kam er mit der VPN-Firewall schließlich nicht weiter. Dafür fand er den eleganten Workaround, alle IP-Adressen aus dem DHCP-Bereich von OpenVPN zu limitieren. Damit haben wir jetzt die gewünschte Kontrolle und es hat für mich den Bonus, dass ich mir per fixer IP eine Ausnahmeregel für den Remote-Admin-Zugriff auf das Dateisystem basteln kann. In der VPN-Firewall gibt es keine Ausnahmen auf Benutzer-Ebene.

    Also WOL bzw. WOW (Wake on WAN) geht nur mit UDP Port 9 weiterleiten.

    Ist eigentlich recht einfach und man muss auch gar nicht viel einrichten.

    Wichtig ist halt, dass die ARP-Tabelle die MAC Adresse kennt..sonst landet das WOL Paket im Nichts bzw. erreicht sein Ziel nicht.

    Das bei den ganzen Home-Routern das Problem. Die löschen die ARP-Tabelle nach einer bestimmten Zeit, so dass es danach nicht mehr funktioniert.

    Ob oder wie man das Löschen der ARP-Tabelle mit der Endian realisieren kann, weiß ich nicht. Aber es würde mich auch interessieren.


    VG