Hallo Leute,
ich bin ein kompletter Anfänger im Thema OPNsense und Firewall. Ich hab ein LES System mit OPNsense 20.1.4-amd64.
Nun habe ich 3 interfaces
1 WAN
2 LAN
3 VLAN
Bei dem VLAN Interface habe ich DHCP aktiviert, dort dann ein Switch und mein Laptop angeschlossen. Das Interface WAN und LAN sind beide an meinem Router angeschlossen. Wenn ich nun über mein Laptop ins Internet will funktioniert das nicht. Er bekommt zwar vom DHCP eine IP-Adresse aber kommt damit nichts ins Netz. Folgende Regeln habe ich im VLAN gesetzt IPV4+6 rein alles erlaubt und IPV4 raus alles erlaubt. Außerdem habe ich IPV6 im VLAN deaktiviert. Habe ich irgendetwas vergessen? Müsste ich nicht eigentlich ins Internet kommen?
LG
Quote from: Niway on April 19, 2020, 02:10:01 PM
Hallo Leute,
ich bin ein kompletter Anfänger im Thema OPNsense und Firewall. Ich hab ein LES System mit OPNsense 20.1.4-amd64.
Nun habe ich 3 interfaces
1 WAN
2 LAN
3 VLAN
Bei dem VLAN Interface habe ich DHCP aktiviert, dort dann ein Switch und mein Laptop angeschlossen. Das Interface WAN und LAN sind beide an meinem Router angeschlossen. Wenn ich nun über mein Laptop ins Internet will funktioniert das nicht. Er bekommt zwar vom DHCP eine IP-Adresse aber kommt damit nichts ins Netz. Folgende Regeln habe ich im VLAN gesetzt IPV4+6 rein alles erlaubt und IPV4 raus alles erlaubt. Außerdem habe ich IPV6 im VLAN deaktiviert. Habe ich irgendetwas vergessen? Müsste ich nicht eigentlich ins Internet kommen?
LG
Geht ein Ping an eine öffentliche IP? z.B. 8.8.8.?
Falls nicht zeig uns Mal die gleiche IP als tracert :)
Ich hab die OPNsense neu aufgesetzt und wollte es jetzt ohne VLAN versuchen. Ich habe Sie frisch aufgesetzt habe eine Allow any auf dem WAN und auf dem LAN. Die Opnsense kommt auch ins Internet. Ich kann unter Schnittstellen>Diagnose auch Pings aus dem WAN mach = Internet da, Pings aus dem LAN = Zielhost nicht erreichbar. Als DNS habe ich bei der OPNsense 8.8.8.8 eingetragen. Ich verstehe echt nicht was ich falsch mache. Gateway ist mein Router 192.168.2.1.
Kann ich Euch irgendwie meine Config schicken?
:( :( :(
Magst du mal deinen Aufbau mit IP Adressen skizzieren?
Wenn man den Text so liest könnte man da auch hineininterpretieren, dass du die Sense mit zwei Beinchen in den Switch des Routers gesteckt hast.
Quote from: Niway on April 19, 2020, 08:43:56 PM
... habe eine Allow any auf dem WAN ...
NIEMALS. Damit ist dein Netzwerk komplett offen und innerhalb von Minuten sind unzureichend genutzte Dienste/Rechner kompromitiert.
Sehr schlecht
Also mein Netz sollte nicht komplett offen sein.
Telekomrouter: 192.168.2.1 daran angeschlossen die OPNsense WAN Interface 192.168.2.254 (Static IP) LAN Interface (DHCP aktiviert) 100.10.10.1
Am Router selber kann ich nicht viel einstellen. Ich weiß leider überhaupt nicht ob das euch hilft. :/
Meine Einstellungen:
Mehr Bilder
Ich hoffe ihr könnt damit was anfangen
Ich bin mir nicht 100%ig sicher, aber deaktivieren
Mal "Block private networks" im WAN Interface.
Und ist dein Gateway als Upstream Gateway aktiviert?
Private Networks block ist bereits deaktiviert.
Hier sind noch ein paar mehr einstellungen:
Im Gateway (wenn ich das richtig verstehe) ist Upstream aktiv
Ich weiß nicht ob das relevant ist, aber ich kann vom LAN Netz aus die WAN IP-Adresse der OPNsense pingen. Ich glaube das muss ja auch so sein. Versteh dann aber trotzdem nicht was das Problem ist.
Wenn ich ein tracert auf die 8.8.8.8 mache reicht die OPNsense das wohl nicht ans WAN weiter, oder seh ich das falsch?
Da fehlt die Regel für ausgehendes NAT, die sollte eigentlich automatisch angelegt werden.
Ob das jetzt "so soll" (weil die Sense aufgrund der privaten Adressen am WAN davon ausgeht, dass kein Nat benötigt wird) und du die von Hand anlegen musst
oder ob da was im Argen liegt kann ich dir nicht sagen
Ich würde erstmal testweise auf Hybrid umschalten und eine Regel manuell anlegen.
Und dein zweiter Gateway (deaktiviert) ist meines Erachtens nach über.
Was genau für eine NAT Regel soll ich machen? also auf Hybrid und dann 😂? Bin totaler Anfänger reason das angeht
Quote from: Niway on April 21, 2020, 08:37:37 AM
Was genau für eine NAT Regel soll ich machen? also auf Hybrid und dann 😂? Bin totaler Anfänger reason das angeht
Also ich habe die Sachen num umgesetzt, allerdings hat sich nichts getan :/
Selbst so funktioniert es nicht.
Quote from: stefanpf on April 20, 2020, 08:50:54 PM
Da fehlt die Regel für ausgehendes NAT, die sollte eigentlich automatisch angelegt werden.
Ob das jetzt "so soll" (weil die Sense aufgrund der privaten Adressen am WAN davon ausgeht, dass kein Nat benötigt wird) und du die von Hand anlegen musst
oder ob da was im Argen liegt kann ich dir nicht sagen
Ich würde erstmal testweise auf Hybrid umschalten und eine Regel manuell anlegen.
Und dein zweiter Gateway (deaktiviert) ist meines Erachtens nach über.
Also so ein bisschen was hat sich getan, aber er sagt immer noch kein Internet zugriff.
EDIT:
Ich habe das gerade mal nachgebaut (PPPOE Modem durch vorgeschaltete Fritzbox ersetzt).
Es entsteht genau das gleiche Bild.
Durch das hinzufügen der folgenden NAt-Outbound Regel komme ich wieder ins Internet
Interface: WAN
Source address: LAN_net
Den Rest wie vorgegeben belassen.
Du benötigst für jedes Netz im LAN eine eigene Regel, bzw. einen entsprechenden Alias.
Fraglich ist immer noch ob das der Sinn der Erfindung ist oder ob es nicht einen eleganteren Weg gibt.
EDIT2:
Nachdem ich die Regel hinzugefügt habe und von "MANUAL" auf "Automatic outbound NAT rule generation
(no manual rules can be used)" umgestellt habe waren auf einmal die automatischen Regeln auch vorhanden
Hier noch mal den Vorgang in Screenshots.
Falls der Zustand im 3ten Bild nicht eintrifft, die Regel aus dem 4. Bild anlegen.
Nicht irritieren lassen:
- meine spontan herbeigezauberte Fritzbox hat eine andere Adresse (also 192.168.2.1 statt 168.192.168.178.1 verwenden)
- mein WAN Interface heißt WAN_7
- meine Netzwerke (die Source Networks) beginnen alle mit LAN_xx_yyyyyy. Wenn du derzeit nur ein Interface im LAN konfiguriert hast heißt das vermutlich einfach nur "LAN_net"
Dazu noch ein paar Anmerkungen:
- Die Portforwardings aus einem deiner Screenshots lösche bitte vorerst
- zusätzlichen Router löschen hatte ich ja schon einmal geschrieben
- Die ganzen Firewallregeln unter "WAN" die du angelegt hast bitte auch wieder löschen - da hat ja schon jemand drauf hingewiesen.
Das Windows "kein Internetzugriff" ignorierst du bitte erst einmal und gehst dass analytisch an.
Sobald du eine externe IP wie 8.8.8.8 aus dem LAN anpingen kannst versucht du einen ping auf einen externen Namen.
Funktioniert das nicht, würde ich
1. Namensauflösung gegen externen Server testen
nslookup
Standardserver: gw.intra.xyz.de
Address: fd95:96d0:8ff0:1d21::254
> server 8.8.8.8
Standardserver: dns.google
Address: 8.8.8.8
> heise.de
Server: dns.google
Address: 8.8.8.8
Nicht autorisierende Antwort:
Name: heise.de
Addresses: 2a02:2e0:3fe:1001:302::
193.99.144.80
>
2. Namensauflösung gegen die IP der Firewall testen
Dann entweder den Unbound auf der Sense lauffähig bekommen oder das DHCP im LAN Checken.