Umstieg von Endian C. zu Opnsense - Ein paar Fragen

[almo]

Hallo Zusammen,

wie der Titel schon sagt möchte ich das Firewallsystem wechseln, und hab ein paar Fragen die vielleicht überholt sind aber auf dem ersten Blick verstehe ich es nicht.

1: Zugriff LAN zum Internet

Nach der Setup ist es ja so das der Zugriff zum Internet aus dem LAN sofort funktioniert, alle Ports alle Dienste. Ich möchte das umstellen. Der Zugriff soll möglich sein, aber nur für die Protokolle (SSH, HTTP/S, FTP usw.) sprich alles was von mir nicht mit Erlaubt eingetragen wurde ist geht nicht nach extern.  Wie sieht da so eine Regeltabelle aus (Screenshot erwünscht)

2: DMZ
Ich habe es geschafft, das ich eine DMZ angelegt habe. Auch hier möchte ich es so einrichten das Server in der DMZ bestimmte Sachen im Internet erreichen können (http/s, ftp).

Ich tu mich gerade einfach etwas schwer das Regelwerk der Firewall zu verstehen. Ich freue mich über Tipps und Anregungen.

Danke

[mimugmail]

Zu 1)
Du gehst auf Firewall - Aliases - View, dann machst du einen neuen Alias, Typ Ports. Dann addest du da die Ports die frei sein sollen. Dann gehst du auf die Firewall view im LAN, öffnest die Standardregel wo LAN auf Any allow ist, stellst bei Protocol von Any auf TCP/UDP und bei Destination Port auf deinen Alias.

Das kann man dann granularer mit je TCP/UDP/ICMP wenn man sich besser damit zurecht gefunden hat.

[mimugmail]

zu 2) im Tab DMZ neue Regel, Quelle dein Host (freie IP Eingabe) oder einfach DMZ_NET und Ziel Any. Dann Protokoll TCP und Destination Port HTTP. Dann kannst du die Rule clonen und HTTPS und FTP draus machen. Bitte noch noch DNS (UDP) nicht vergessen.

[almo]

Ich Betreiber in der DMZ aktuelle einen Windows Server mit AD. Dieser ist für die Windows Clients und Linux-Server erster DNS. Als zweiter DNS ist aktuelle die Firewall eingetragen. Alles was der Windows DNS nicht kennt gibt er an die Firewall weiter. Benötige ich dann auch noch den DNS Allow Eintrag DMZ-Bereich in der Firewall ? Oder würde das auch so funktionieren?

[mimugmail]

Das musst du dann noch freischalten, Quelle DMZ_NET, Ziel DMZ_address, protocol UDP, Port DNS/53

[almo]

Das musst du dann noch freischalten, Quelle DMZ_NET, Ziel DMZ_address, protocol UDP, Port DNS/53

Sprich in meinem Fall:
Firewall IP LAN: 192.168.1.254
DMZ Interface IP: 192:168.68.254
WAN IP: 129.x.y.z

Erster DNS der auch per DHCP verteilt wird: 192.168.68.250
Zweiter DNS der auch per DHCP verteilt wird: 192.168.1.254 / In der DMZ 192.168.68.254 (Feste IP Konfig)

##
DMZ_NET, Ziel 192.168.68.254, UDP Port DNS/53

##

Ergebnis ?

[mimugmail]

Moment .. du verteilst auch im LAN als DNS die DMZ IP von der Firewall? Das würde ich anpassen. Du kannst ja je Subnet die DNS Server fix einstellen

[almo]

Moment .. du verteilst auch im LAN als DNS die DMZ IP von der Firewall? Das würde ich anpassen. Du kannst ja je Subnet die DNS Server fix einstellen

Der Erste DNS-Server für das Netz ist der Windows Server der in der DMZ steht der die IP: 192.168.68.250 hat. Dieser wird auch so per DHCP im LAN-Netz an die Clients verteilt damit die Windows Clients den Weg zur Windows Domäne finden. Das wird ja über DNS-Einträge realisiert.

Diesen DNS-Server erhalten auch alle Geräte in der DMZ so nur als fixe Config.

Der zweite DNS-Server sieht wie folgt aus:

LAN-Netz: 192.168.1.254 (Firewall)
DMZ-Netz: 192.168.68.254 (Firewall)

Ich hoffe du konntest mir nun folgen ...

[mimugmail]

Sieht doch gut aus :)
Wenn's noch nicht geht bitte Screenshot

[almo]

Ich hab die letzten Wochen viel an mener opnsense Firewall gearbeitet. Und bin echt weit gekommen aber ein Problem hab ich aktuell.

Bestimmte Websiten löst er mir mit IPv6 DNS auf und ich bekomme einfach keine Zugriff. Die Webseiten hätten aber auch einen IPv4 Eintrag.

Meine DNS Regel sieht so aus:

IPv4+6 UDP    LAN Netzwerk    *    Diese Firewall    53 (DNS)    *


Meine Firewall darf gerne intern IPv6 sprechen im LAN-Netzwerk. Aber mein WAN hat aktuell nur eine IPv4 Fest-Adresse im 129.-Bereich. Die IPv6-Adressen muss ich erst noch beim RZ bestellen.

Wo liegt mein Fehler?

Update:
Über die Firewall mit Diagnose DNS-Abfrage bekomme ich eine IPv4 Eintrag zurück. An meinem Client per nslookup eine IPv6 Eintrag.

Oder spielt mir hier Windoof einen Streich ?

[mimugmail]

Du kannst in Firewall Settings irgendwo einstellen dass IPv4 bevorzugt wird.

[almo]

Die Option hab ich gesehen, aber ich Frage mich wie er auf IPv6 Kommunizieren will wenn kein IPv6 am WAN anliegt

Oder anderes gesagt wie Konfiguriere ich folgendes:

LAN DHCP IPv4 und IPv6 -> Clients können auf beiden wegen Sprechen.

Die Firwall macht aber 6to4 also Client Anfragen auf IPv6 Richtung WAN werden mit IPv4 abgewickelt, genauso Anfragen von IPv6 richtung DMZ dann mit IPv4 abgewickelt werden?

[JeGr]

> Die Firwall macht aber 6to4 also Client Anfragen auf IPv6 Richtung WAN werden mit IPv4 abgewickelt, genauso Anfragen von IPv6 richtung DMZ dann mit IPv4 abgewickelt werden?

Man möge mir eines besseren belehren, aber meines Wissens geht das NICHT wenn du auf dem WAN kein v6 hast (oder nen Tunnel), weil es (noch?) kein NAT64 in der Sense gibt. FreeBSD hat das aber m.W. inzwischen sogar implementiert, allerdings gibts dann noch DNS64 zu beachten.

[almo]

Deswegen wundert mich das:

WAN IPv4 und IPv4 DNS Server.

DNS-Abfrage an der Firewall liefert einen DNS Eintrag zurück mit einer IPv4 Adresse.

Windows Client im LAN Netzwerk macht den selbe Abfrage und zeigt einen IPv6 Record an.

Wenn ich z.b Google abfrage am Windows Client bekomme ich die DNS Einträge IPv4 und IPv6 zurück.

Entweder legt mir der Windows Client das Ei, oder ich hab an der Firewall was falsch gemacht?

[JeGr]

OK den Block verstehe ich nicht.

Wo machst du die Abfrage bei der du nur v4 Adressen bekommst?
Normalerweise kommen beide, je nach Konfiguration kann dann v4 oder v6 präferiert werden. Auch bei Windows selbst gibts die Einstellung, dass je nachdem v6 oder v4 präferiert wird (generell nicht nur auf DNS bezogen). Daher: Wo genau klemmts? :)