Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: kosta on July 25, 2021, 07:18:15 PM

Title: Rule greift nicht?
Post by: kosta on July 25, 2021, 07:18:15 PM
Hallo,

bin etwas perplext, warum greift dieses Rule nicht?
Screenshots folgen.
Title: Re: Rule greift nicht?
Post by: kosta on July 25, 2021, 07:22:34 PM
Und hier noch das Rule selbst
Title: Re: Rule greift nicht?
Post by: mrk45k on July 25, 2021, 09:22:16 PM
ok,
ich fange das Raten mal an!

Die Rule soll erlauben?!
Eine deny Rule ist nicht oberhalb in den Lan Net Rules?

Es wäre doch schick wenn man mehr Infos zu deinen gesamten Rules hat.
Und eventuell auch was diese "nicht funktionierende" machen soll?

Quote... warum greift dieses Rule nicht?
..was soll sie machen?
Title: Re: Rule greift nicht?
Post by: kosta on July 25, 2021, 09:30:50 PM
Ich hätte gedacht das war aus den Screenshots klar.
Nun:
Das sind diverse Clients die N-Central Agent installiert haben. Port 1234 ist:
https://secure.n-able.com/webhelp/NC_11-0-0_en/Content/Help_20/MSPA/MSPC_ports.htm
Betrifft Remoting aus dem N-Central.
Er will Outbound zu *.mspa.n-able.com
Port 1234
Ja, die Rule soll erlauben.
Nein, ein Deny ist erst ganz am Ende.
Nix im Floating dazu...

Mm, wie soll ich mehr Infos zu den Rules posten, was willst du genau wissen? Es sind LAN und mehrere VLANs, Floating verwende ich aktuell nur 1 Rule, nix mit N-Able zu tun.
Grundlegend steht ganz oben IPv6 deny, dann alle Rules und dann am Ende Deny All mit Logging an.
Title: Re: Rule greift nicht?
Post by: superwinni2 on July 25, 2021, 11:05:54 PM
Es gibt bei der DNS Auflösung kein Wildcard.

Gesendet von meinem OnePlus 8t mit Tapatalk

Title: Re: Rule greift nicht?
Post by: kosta on July 26, 2021, 12:00:55 AM
Ist drin sowohl mit wie auch ohne. Ich entferne den Eintrag mit.
Title: Re: Rule greift nicht?
Post by: JeGr on July 26, 2021, 11:10:27 AM
Das kannst du zwar entfernen, die Regel wird dann aber trotzdem nicht matchen wenn dein Client bspw. zu abc.mspn... raus will, weil die Regel einfach nicht erahnen kann, welche Subdomains/Hostnamen sich hinter dem * verstecken. Entweder brauchst du für dieses Vorhaben eine komplette Domainliste statt dem * oder es wird nicht klappen. Dann bleibt nur noch Freigabe der Ports gegenüber von IPs oder "any". Man könnte höchstens noch das Netz eingrenzen, dass der Provider/Hoster nutzt und ggf. über den AS o.ä. ne komplette IP Liste/Netzliste abgreifen und die hinterlegen um den Zugriff nicht auf Any gelten zu lassen, aber ohne vollständige Domainliste mit allen genutzten IPs wird das schwer.

Cheers
Title: Re: Rule greift nicht?
Post by: Patrick M. Hausen on July 26, 2021, 12:46:17 PM
@JeGr Wäre Sensei nicht genau für so etwas da? "Raten", was die Clients treiben?
Title: Re: Rule greift nicht?
Post by: kosta on July 26, 2021, 01:19:10 PM
Sensei wird eingesetzt, ist auf der To-Do Liste, aber bin noch nicht soweit.

@JeGr, danke, verstehe. Ist kein Problem, wenn es so nicht geht, dann werde ich rundum arbeiten.
Title: Re: Rule greift nicht?
Post by: JeGr on July 26, 2021, 06:26:52 PM
Quote from: pmhausen on July 26, 2021, 12:46:17 PM
@JeGr Wäre Sensei nicht genau für so etwas da? "Raten", was die Clients treiben?

Raten vielleicht, aber für policy based rules? Bin ich tatsächlich gerade überfragt, dazu setz ich den Kram zu wenig selbst ein.
Text only | Text with Images