OPNsense Forum
International Forums => German - Deutsch => Topic started by: kosta on February 23, 2021, 11:07:09 pm
-
Hallo,
was muss ich dafür tun, damit ich mein WebGUI von außen zugreifen kann?
Ich dachte es wäre genug dass die FW auf allen Intf hört und Firewall nach Innen am Port xxxx durchlässt.
Aber, scheinbar nicht.
Was fehlt mir bitte?
-
Hallo.
Ohne jetzt deine Kenntnisse in Frage zu stellen, aber meinst du nicht es wäre sinnvoll sich zuerst mit den Konzepten vertraut zu machen bevor man, warum auch immer, die GUI von außen erreichbar macht?
Fg
-
Warum vertraust nicht einfach dass ich meine Konzepte ganz gut im Griff habe und hilfst mir bei der Antwort?
-
Hallo kosta,
die WebGUI sollte von außen erreichbar sein, sobald du den entsprechenden Port unter Firewall -> Rules -> WAN frei gibst. Bei mir sieht das so aus:
IPv4+6 TCP * * This Firewall 443 * * Allow WebGUI
Ich habe allerdings den Port geändert (hier habe ich ihn durch den Standard-Port ersetzt). Zudem habe ich eine kleine Liste an Aliasen eingerichtet, die "URL (Table)" Einträge diverser Blocklisten enthält. Diese Blocklisten habe ich vor der "Allow"-Regel eingefügt. So reduziert man wenigstens einen Teil der Script-Kiddies.
Gruß
Robert
-
Ahhhh, das ist aber merkwürdig - oder by Design?
Wenn ich Rule ohne Port erstelle, dann geht's nicht? Also IPv4 -> This Firewall -> Any geht nicht, Port auf mein Custom Port gesetzt, und geht.
Besten Dank.
-
Ahhhh, das ist aber merkwürdig - oder by Design?
Wenn ich Rule ohne Port erstelle, dann geht's nicht? Also IPv4 -> This Firewall -> Any geht nicht, Port auf mein Custom Port gesetzt, und geht.
Besten Dank.
Sollte eigentlich genau so gehen
Wenn man schon sowas macht dann grenz doch deine FW Regel etwas ein.
Regel mit Ziel WAN Adresse,...
Mal ganz von der Sicherheitsthematik mit öffentlich erreichbaren WebUIs abgesehen...was ich immer Katastrophal finde...
-
@kosta jetzt bin ich neugierig: warum, was ist dein Ziel?
Die frage hoffe ich gestattest du mir (ich finde es auch sehr kritisch), ich versuche aber dazu zu lernen.
Gesendet von iPad mit Tapatalk Pro
-
Klar:
1. Erst zu wissen ob es funkt
2. Extern das Thema cert testen, aber vor allem:
3. Zu gebrauchen wenn ich eine Test-Umgebung habe und die FW von zu Hause über IPsec in der Firma oder vice versa, je nach dem wo was ist, zugreifen zu können, ohne mir zusätzliche Netze über IPsec durchschleifen zu müssen.
-
Klar:
1. Erst zu wissen ob es funkt
2. Extern das Thema cert testen, aber vor allem:
3. Zu gebrauchen wenn ich eine Test-Umgebung habe und die FW von zu Hause über IPsec in der Firma oder vice versa, je nach dem wo was ist, zugreifen zu können, ohne mir zusätzliche Netze über IPsec durchschleifen zu müssen.
Absolut irre, wenn sowieso ein Tunnel gegeben ist oder leicht zu erstellen ist. Klingt wie der Bauplan zu einer hübschen Katastrophe. Nur falls andere hier das lesen und auch sowas machen wollen...
-
Jetzt bin ich gespannt: weil? Ich hab das Setup schon viele Jahre perfekt laufen ohne jeglichen Probleme. Früher mit 2 Sophos, jetzt Sophos + OPNsense.
-
Jetzt bin ich gespannt: weil? Ich hab das Setup schon viele Jahre perfekt laufen ohne jeglichen Probleme. Früher mit 2 Sophos, jetzt Sophos + OPNsense.
Nur weil es bisher lief heißt es nicht dass es sicher ist.
-
Ich warte noch immer auf die Antwort: was spricht dagegen?
-
Ich warte noch immer auf die Antwort: was spricht dagegen?
Isoliert heißt kein Zugriff aus dem Internet oder was meinst du ?
-
Nun,
selbstverständlich geht das was Du möchest.
Aber es ist sicherheitstechnisch eigentlich ein Gau. Regel nummer 1 . Stelle niemals ein Webinterface einer Sicherheitseinrichtung direkt ins Internet. Keiner von uns weiß ob im Interface keine Sicherheitslücken sind.
2. Wenn Du auf einer WAN ip noch andere dienste bereitstellen willst beist sich das schnell. Es sei den du nutzt andere Ports für das Interface.
-
Ich warte noch immer auf die Antwort: was spricht dagegen?
Isoliert heißt kein Zugriff aus dem Internet oder was meinst du ?
Genau. Keine Firewall können aus dem INTERNET zugegriffen werden. Wanseitig heißt aber nicht zwingend "INTERNET" oder? :)
-
Nun,
selbstverständlich geht das was Du möchest.
Aber es ist sicherheitstechnisch eigentlich ein Gau. Regel nummer 1 . Stelle niemals ein Webinterface einer Sicherheitseinrichtung direkt ins Internet. Keiner von uns weiß ob im Interface keine Sicherheitslücken sind.
2. Wenn Du auf einer WAN ip noch andere dienste bereitstellen willst beist sich das schnell. Es sei den du nutzt andere Ports für das Interface.
Oh Mann, habe ich irgendwo geschrieben Internet?? Wanseitig heißt nicht gleich INTERNET!!
Nochmals: keine meiner FW sind im Internet. Ich hab's getestet, um zu sehen ob es funkt, und basta. Auf die FW vom Handy aus gehe ich über WG aktuell. Sonst früher OVPN.
Wir haben zwei Firewalls in der Firma, gleiche WAN, separate statische IP. Alles gut.
PS: die Ports sind das erste was ich geändert habe, als ich die FW installiert habe. ;-)
-
Nun,
selbstverständlich geht das was Du möchest.
Aber es ist sicherheitstechnisch eigentlich ein Gau. Regel nummer 1 . Stelle niemals ein Webinterface einer Sicherheitseinrichtung direkt ins Internet. Keiner von uns weiß ob im Interface keine Sicherheitslücken sind.
2. Wenn Du auf einer WAN ip noch andere dienste bereitstellen willst beist sich das schnell. Es sei den du nutzt andere Ports für das Interface.
Oh Mann, habe ich irgendwo geschrieben Internet?? Wanseitig heißt nicht gleich INTERNET!!
Nochmals: keine meiner FW sind im Internet. Ich hab's getestet, um zu sehen ob es funkt, und basta. Auf die FW vom Handy aus gehe ich über WG aktuell. Sonst früher OVPN.
Wir haben zwei Firewalls in der Firma, gleiche WAN, separate statische IP. Alles gut.
Dann schreib das doch bitte
Oben steht nur von außen
Im Bezug außen und WAN seitig schließe ich daraus Internet!
-
Im Bezug außen und WAN seitig schließe ich daraus Internet!
Tja... ;)
-
Im Bezug außen und WAN seitig schließe ich daraus Internet!
Tja... ;)
Und in der Regel bedeutet WAN auch Internet
Wide area network halt...
-
Eben.
Wan ist das Netz das ich genrell nicht rein lasse. Nur mit definierten Regeln. Alles andere ist Lan. Kann gerne auch gerne mehrere Lans geben.
-
Im Bezug außen und WAN seitig schließe ich daraus Internet!
Tja... ;)
Sich erst über andere aufzuregen und dann selbst so eine Antwort geben ist auch nicht gerade das Gelbe vom Ei. Also vielleicht mal nachdenken und auch mal dankbar sein, statt sich gleich aufregen, nur weil andere sich über deine Sicherheit Gedanken machen. Die fragen das ja nicht zum Spaß weil sie dich am Nasenring durch die Manege ziehen wollen. Aber das ist mit der Grund warum ich viele Frage inzwischen überlese. Weil bei Nachfragen sich dann aufgeregt wird, man beantworte nicht einfach die Frage, sondern würde unnütze Grundsatzdiskussionen anfangen und typisch deutsch, Alman, blafasel und trötfallera. Klar. Man hat ja auch nix besseres mit seiner Zeit zu tun. Dass man damit vielleicht helfen möchte und ggf. etwas verbessern, bei dem man Bedenken oder Zweifel hat, dass das gut ist? Damit derjenige vllt. noch was dazulernen kann? Oder man selbst?
-
@JeGr
Ich überlese nicht nach Posts, jeder hat mal eine "dumme" Frage. Aber den ein oder anderen Kasper tu ich mir nicht mehr an, egal in welchem Forum...
-
Ist schon in Ordnung. War ein Missverständnis und tät mich freuen wenn man das auch so hinnehmen würde. Und ja, ich bin sowieso dankbar, und bedanke mich auch jedes Mal für die Hilfe. Ich weiß was eine Community bedeutet und das schätze ich auch.
-
@JeGr
Ich überlese nicht nach Posts, jeder hat mal eine "dumme" Frage. Aber den ein oder anderen Kasper tu ich mir nicht mehr an, egal in welchem Forum...
Kann ich nachvollziehen. Ich flieg manchmal eben über Posts und ahne dann schon dass es keinen Sinn macht zu antworten, schließe aber nicht per se alle Posts eines Users aus ;) Könnte ja immer noch was dabei sein, was man beantworten kann. Aber nach einigen Posts die sich beschweren warum man keine simple Antwort auf eine (ggf. falsche) Frage gibt, bin ich dann Erklärungen einfach leid.
Ist schon in Ordnung. War ein Missverständnis und tät mich freuen wenn man das auch so hinnehmen würde. Und ja, ich bin sowieso dankbar, und bedanke mich auch jedes Mal für die Hilfe. Ich weiß was eine Community bedeutet und das schätze ich auch.
Sehr schön, dann lassen wirs doch dabei bewenden. Nur vllt im Hinterkopf mal halten für die nächste Frage: Wenn man nicht alles klar definiert oder erklärt hat und sich Leute dann wirklich einbringen und Sorgen machen weil sie potentiell was Gefährliches erkennen, einfach mal alle Infos mit reinpacken/posten, damit eben genau das Mißverständnis nicht auftritt. Für die meisten ist bspw. eben aus gutem Grund "WAN" nicht unbedingt "= Internet" aber auf jeden Fall aus Firewall-Sicht "untrusted zone". Und dort ne WebUI aufmachen widerstrebt jeder guten Security Person aus nachvollziehbaren Gründen ;) Einfach mehr Infos mit reinpacken - dann sind alle beruhigt :)
-
Einfach mehr Infos mit reinpacken - dann sind alle beruhigt
Passt, werde mir Mühe machen!