OPNsense Forum
International Forums => German - Deutsch => Topic started by: kollaesch on March 07, 2021, 01:55:00 pm
-
Hallo zusammen,
bin neu hier und mache mich seit ein paar Tagen daran auf opnsense umstellen.
Ausgangspunkt:
Mein opnsense-Router läuft noch testweise in meinem LAN. Bevor ich den ans WAN hänge, sollten alle wichtigsten Funktionen laufen. Hierzu setze ich mein OpenVPN-Setup auf. (openvpn mit TLS & Freeradius-Auth auf opnsense-server)
1. Der Server ist mit deaktivierter Firewall erreichbar. Verbindung lässt sich fehlerfrei herstellen.
2. Ich habe den openvpn-server mit dem Wizard erstellt. Der Wizard hat entsprechende Regeln erstellt. Diese greifen nicht!
3. WAN-Interface: 'Block private networks' & 'Block bogon networks' sind deaktiviert.
4. Regeländerungen habe ich inkl. "Reset States" durchgeführt.
Damit die Verbindsaufbau zu Stande kommen kann sind die folgende Verbindungen zuzulassen.
1. Zugriff auf den Server (exemplarisch TCP 1194)
2. Zugriff vom Tunnel auf den Server (exemplarisch 10.177.0.0)
Ein konkreter Sachverhalt bringt mich zum Grübeln und ist der Grund, dass ich mich hier melde.
Die erste Regel (WAN-Interface) dport '1194' 'TCP', dst: 'This Firewall' wird korrekt ausgeführt. (lt. Liveview)
Die zweite Regel für den Tunnel bekomme ich nur in dem folgenden Szenario durch.
Floating: Interface any, src: any, dst 'this firewall', dport any.
Sobald ich das richtige Interface in dieser Regel nehme, oder sogar alle auswähle (WAN,loopback,LAN,OpenVPN) funktioniert der Zugriff nicht mehr!! (in Floating) - geschweige denn die Regel in konkrete auf die Interfaces zulegen.
Was läuft da schief?
Das hat für mich den Anschein, dass hier bereits ein Bug (komplette Selektion) vorliegt.
Ich habe sseit 10+ Jahren Erfahrung mit netfilter und komplexen Regeln. Aber hier fehlt mir ein Stück Film.
Wo kann ich hier ansetzen? Wenn die Regel nicht schon mal im Floating funktioniert, wie soll ich die auf dem jeweiligen Interface zum Laufen bekommen?
Ich bin schließlich beim Floating gelandet, weil die Interface-Regeln nicht gegriffen habe.
Liveview-Auszug wenn der Verkehr durchgeht:
ovpns1 Mar 7 09:10:22 10.177.0.6:57095 192.168.177.1:53 udp FLOATING-ALL-ALLOWED
wan Mar 7 09:10:21 192.168.77.42:57887 192.168.77.30:1194 tcp FLOATING-ALL-ALLOWED
Herzlichen Dank schon Mal im voraus für Denkanstöße!
PS: habe den Router auch schon neu booten lassen um evtl. States zu flushen.
-
moin, auch wenn es ein test ist, bitte einen grafischen netzwerkplan.
- läuft deine sense auf blech oder als vm (wurde leider nicht erwähnt)
- bitte mal screenshots von deinen regeln die nicht funktioniert haben
- bitte mal einen screenshot von den einstellungen für die clienst
das was du beschreibst hatte ich auch mal (vor ca. 2 jahren) auf 2 virtualisierten OPNsense zum testen die ich unter paralles hatte.
-
Hallo, danke erstmal.
einfachstes Layout - wie folgt:
WAN (192.168.77.0/24) => ROUTER (192.168.77.30)
|| L_> LAN (192.168.177.0/24)
TUNNEL 10.177.0.0/24 ========^
- läuft deine sense auf blech oder als vm (wurde leider nicht erwähnt)
- läuft auf Blechebene (HP T620Plus mit intel i350t4)
- bitte mal screenshots von deinen regeln die nicht funktioniert haben
Die Regeln je Interface sind aus meiner Sicht schon auf das Minimum reduziert. In den ist nur noch IPv4 deklariert.
Das Einfügen der Bilder ist hier mir zu umständlich daher noch einmal auf Textebene.
(Layout wie bei einem Snapshoot)
| If. im Menu | Interf in Regel | Proto | Src | Port | Dest | Port | GW | Sch. | Descript | Ergebnis |
| WAN | WAN | IPv4-TCP | * | * | This Firewall | 1194 | * | * | Regel1 | 1194 ok, Tunnel fehlt |
| Floating | 'Select...' | IPv4 | * | * | This Firewall | * | * | * | Regel2 | Erfolgreich |
| Floating | WAN,LAN,Loop,OpenVPN | IPv4 | * | * | This Firewall | * | * | * | Regel3 | BLOCK |
| Floating | LAN | IPv4 | * | * | This Firewall | * | * | * | Regel5 | BLOCK |
| OpenVPN | OpenVPN | IPv4 | * | * | * | * | * | * | Regel6 | BLOCK |
- bitte mal einen screenshot von den einstellungen für die clients
Da die Verbindung der Clients ohne Firewall funktioniert, liste ich die hier nicht.
(tcp 1194, dst 192.168.77.30, tunnel 10.177.0.0)
Bei den anderen Regeln kommt nicht mal die Standard-Deny-Rule im Lifeview.
Irgendwo hängt es also.
Die Regeln habe ich einzeln durchgeschalten.
Regel 2 finde ich so absurd. Die geht, aber die Regel 3 bspw. geht nicht mehr?!?
Meine Vermutung ist, dass es sich beim Interface OpenVPN (welches der OpenVPN-Wizard angelegt hat) um das Interface "ovpns1" (Aus Lifeview) handelt.
Ideen? Habe schon angefangen mit `pfctl` im Terminal zu hantieren.
-
du hast nur die floating regeln gepostet, ich hatte doch gebeten das du einen screenshot von den regeln postest die du angelegt hattest die nicht funktioniert haben
ich verstehe nicht was router ist , soll das die fritzbox sein?
irgend wie verstehe ich deinen netzwerkplan nicht, wo ist die sense?
-
bitte einen SCREENSHOT (so kann ich es besser bei mir vergleichen):
- deine firewall regel openvpn
- irgend wie finde ich sieht deine regel komisch aus, wo her hast du die so?
google mal, thomas kren hat eine recht gute anleitung (das howto wird auch öfter im forum genant).
-
Hi micneu,
die Opensense ist der Router. (eingangs beschrieben, dass ich das noch im LAN betreibe, bevor ich das online schalte)
In den letzten Spalten habe ich doch inkrementell gelistet welche Regeln funktionieren und ab wann nicht mehr.
Ich habe die ja schon soweit aufgebohrt, dass die eigentlich nur nicht ipv6 abgreifen.
Alles andere wäre noch restriktiver als das.
Aus meiner Sicht müssten ja mindestens schon die gehen.
Anbei die Bilder - die werden aber vermutlich nicht wirklich weiterhelfen.
Wie bekomme ich die Firewall mehr 'verbose'?
-
Weitere Regelbilder
-
Weitere Regelbilder
-
Fall 1) nur die Standardregel im WAN greift mit 1194 - Tunnel kann nicht aufgebaut werden
Anhang 1: Log
Fall 2) Regel in Floating aktiviert (kein Interface = "select ...") - greift für 1194 (ok)
und greift auch für Tunnel => "ok"
(mittlere Regel von Floating gemäß Bilde zuvor)
Mit dem letzten Log wurde auch noch der loopbackverkehr für freeradius angezeigt.
Der kommt laut diesem Log noch vor dem Tunnel.
Aber dies sind beides Standardregeln. Deutet für mich noch immer auf den Tunnel.
Danke.
-
Nochmal nachlesen, was in FW-Regeln SOURCE ist, und was nicht...