TL;DR: Bei ersteinreichtung, ab welchem punkt ist es safe den ISP router in bridge mode zu schalten und opnsense dem internet zu exponieren?
Hi,
bin seid ein paar Tagen dabei mein Heimnetz um einzurichten und opnsense zu konfigurieren. Dies ist mein erster kontakt mit open source firewalls, entsprechend steil ist die Lernkurve. Hänge mit opnsense im Moment noch hinter dem ISP router (ist noch nicht im bridge mode), weil ich erst noch die firewall regeln verstehen und konfigurieren will, aber ich bin mir nicht sicher wann es safe ist die kiste dem internet zu exponieren und den ISP router in den modem/bridge betrieb zu schalten. Gibts da eine checkliste an konfiguration die man vorher getätigt haben sollte?
Meine kurzfristigen ziele sind i) eben das heimnetzwerk zu sichern und dann so bald wie möglich ii) per vpn auf das heimnetz zugreifen zu können.
Hier is das setup:
WAN / Internet
:
: DialUp-/PPPoE-/Cable-/whatever-Provider
:
.-----+-----.
| Gateway | (isp coax router)
'-----+-----'
|
WAN | IP or Protocol
|
.-----+------.
| OPNsense | (TLSense 5200U 4x NIC)
'-----+------'
|
LAN | 192.168.99.1/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (wifi AP, TV box, laptop [per kabel], NAS, ...)
Nun,
wenn da nichts spezielles als ISP Router steht eigentlich sofort.
Den die OPNsense verhält sich erst mal genau wie so ein Router.
Alles von außen kommt nicht rein(Außer - allow DHCP client on WAN, wenn das WAN auf DHCP steht). Alles von innen darf raus (NAT).
Alles andere ist dann ein frage der Aufgabenstellung.
ok danke, macht sinn.
was "von aussen rein" kommt würde ich dann bei den regeln im WAN interface festlegen, oder?
Wenn man kein IPV6 hat sollte mann noch unter ip/system_advanced_firewall.php
Allow IPV6 aus machen.
Naja wenn etwas rein soll dann kommt das im WAN rein. Das ist aber nur der Fall wenn man Dienste anbietet.
Zum Beispiel VPN. Oder Portweiterleitungen an nachgelagerten System braucht.
> Wenn man kein IPV6 hat sollte mann noch unter ip/system_advanced_firewall.php
also wenn ich vom isp nur IPv4 bekomme? wo genau stell ich das aus?
ja es soll ein opnvpn dienst angeboten werden, damit ich von meinem arbeitsrechner auf das NAS zugreifen kann.
Quote from: dullibert on May 24, 2021, 02:06:33 PM
> Wenn man kein IPV6 hat sollte mann noch unter ip/system_advanced_firewall.php
also wenn ich vom isp nur IPv4 bekomme? wo genau stell ich das aus?
http://ipadresse(Opnsense)/system_advanced_firewall.php
Der erste Punkt.
top - bedankt!
https://www.thomas-krenn.com/en/wiki/OPNsense_disable_IPv6
... und nicht wundern, wenn trotzdem ipv6 Adressen (link-local) auf den Interfaces erscheinen. IPv6 ist wie Malware, man bekommt es einfach nicht tot...
Und: Wenn es (andere) Malware auf dein Händi, Laptop etc geschafft hat, dann kommt der maligne Traffic vom LAN, nicht vom WAN. Also weg mit der allow ANY ANY Regel und genau überlegen, welches Gerät welche Verbindung aus dem LAN heraus braucht (und wie lange, man kann ja Regeln nur hin und wieder ein-/ausschalten, wenn man Internetz braucht).
ok
bezüglich IPv6, was ist denn eigentlich mit den regeln hier:
Die ist dafür da dass du eine Ip von deinem Modem bekommst.
Die Firewallregeln gelten von oben nach unten also wenn eine Regel eintritt ist die Grundeinstellung dass dann diese ausgeführt wird. Durch das deaktivieren des IPV6 wurde ganz oben eine Regel eingefügt welche IPV6 blockt.
ah verstehe. also, in anderen worten: es wird erlaubt das die firewall WAN-IP Vergaben seitig des ISP mittels DHCP akzeptiert?
> Wenn man kein IPV6 hat sollte mann noch unter ip/system_advanced_firewall.php
> Allow IPV6 aus machen.
Würde ich so nicht unterschreiben. Allow IPv6 macht IPv6 nicht aus, weshalb auch die Aussage
> ... und nicht wundern, wenn trotzdem ipv6 Adressen (link-local) auf den Interfaces erscheinen. IPv6 ist wie Malware, man bekommt es einfach nicht tot...
eben ein wenig am Ziel vorbei ist. Das hat nichts mit Malware zu tun (Käse), sondern damit, dass eben IPv6 NICHT ausgeschaltet wird, sondern der Schalter lediglich eine "block any IPv6" Regel erzeugt und damit schlicht jeden IPv6 Verkehr blockt. Das verhindert bzw. schaltet aber IPv6 Fähigkeit des OS nicht ab, sondern blockt eben lediglich jeden Traffic weg (und loggt ihn auch nicht) daher sieht man davon recht wenig. Trotzdem haben Interfaces aber weiterhin ihre link-local Adressen etc. etc.
Sich damit beschäftigen und ordentlich einrichten bringt mehr, als IPv6 zu verteufeln, was nichts Schlechtes ist, sondern in den meisten Fällen schlichtweg von den ISPs/Anbietern kaputt konfiguriert wird und deshalb Banane beim Endkunden ankommt.
Cheers
\jens
Quote from: JeGr on May 25, 2021, 10:03:53 PM
Würde ich so nicht unterschreiben. Allow IPv6 macht IPv6 nicht aus, weshalb auch die Aussage
Normalerweise wird SLAAC nicht blockiert - mit dem Flag eben schon. Wenn man IPv6 also nicht mit irgendeiner eigenen FW-Regel freigeschaltet, hat das nur den Effekt, dass OPNsense keine öffentliche IPv6-Adresse annimmt und daher auch selbst keine ausgehenden IPv6-Verbindungen initiiert. Die Checkbox ist prinzipiell nur für Geräte da, bei denen IPv6 aus welchen Gründen auch immer nicht anständig funktioniert. Zum Beispiel du bekommst ne IP, traffic wird aber von nächsten Router nicht weitergeleitet.
> Normalerweise wird SLAAC nicht blockiert - mit dem Flag eben schon. Wenn man IPv6 also nicht mit irgendeiner eigenen FW-Regel freigeschaltet, hat das nur den Effekt, dass OPNsense keine öffentliche IPv6-Adresse annimmt und daher auch selbst keine ausgehenden IPv6-Verbindungen initiiert.
Das stimmt ja durchaus, aber der Haken ist - entgegen dem was vielfach gedacht wird - kein "off" Switch für IPv6, sondern eben nur ein "Unterdrücken sämtlichen IPv6 Traffics" was wie du schreibst SLAAC und Co verbietet, richtig. Aber es verhindert nicht, dass sich Geräte dann trotzdem gegenseitig mit fe80:: Adressen "sehen" könn(t)en, es wird lediglich "unsichtbar" weil nicht geloggt der Traffic geblockt und weggeworfen. Deshalb geben sich Geräte aber trotzdem Link-Local Adressen und haben theoretisch voll funktionsfähige IPv6 Interfaces. Viele verstehen darunter aber sowas wie unter Windows den Haken beim IPv6 Protokoll rauszunehmen und damit das Interface komplett für v6 abzuklemmen so dass gar nichts mit von v6 auf dem Interface ist. Und das ist hier nicht der Fall - darauf zielte mein Hinweis ab :)
Und wenn man einen entsprechend IPv6 Redirect ausgehend konfiguriert, würde m.W. IPv6 trotzdem funktionieren (hätte man bspw. eine statische Zuweisung), da die Regeln die ausgelöst werden IMHO ohne quick erstellt werden und damit später überschreibbar sind - da bin ich mir aber auf aktuellem Stand nicht sicher :)