OPNsense Forum
International Forums => German - Deutsch => Topic started by: seni on September 24, 2022, 10:26:17 am
-
Guten Morgen,
ich habe seit wenigen Tagen eine OPNsense 2.7.4 laufen, bin also neu in der OPNsense Welt. Ich habe bereits google bemüht, finde aber keine Antwort zu meinem "Problem" und möchte mich daher hier mit euch austauschen.
Nach Problemen mit DSlite, wurde ich von meinem ISP auf Dual-Stack umgestellt und bin seitdem mit PPPoE über die WAN Schnittstelle eingewählt. Als DSL Modem fungiert ein DrayTek Vigor 167 mit aktueller Firmware, welches VLAN7 an die OPNsense weiter gibt. Soweit so gut.
Ich habe insgesamt 3 Schnittstellen konfiguriert: Die zwei die direkt nach der Installation vorhanden sind (LAN, WAN), sowie eine HOMENET Schnittstelle an der eine FritzBox (IP Client) für VOIP und als WLAN AP arbeitet.
Das VOIP habe ich nach dieser Anleitung konfiguriert: https://www.mg-sky.de/2019/02/17/voip-mit-einer-fritz7490-hinter-pfsense/
Vom HOMENET aus ist HTTPS, DNS, ICMP nach außen erlaubt für alle Clients (Richtung IN).
Die LAN Schnittstelle mit ihrer anti-lockout Regel nutze ich als "Management Port" um im Notfall auf die OPNsense verbinden zu können, falls ich mich über die HOMENET Schnittstelle aussperren sollte. Da sind also keine Geräte angeschlossen.
Nachdem ich nun einige Regeln im HOMENET erstellt habe beobachte ich ungewöhnliches Verhalten.
1. Ein Gerät, welchem ich vollen ungefilterten WAN Zugriff erlaube (Testzwecke any-any), weißt trotzdem ein BLOCK verhalten auf. Konkret geht es um ein Handy und die Nutzung von Whatsapp. Nachrichten kommen verzögert an, Bilder und Medien Inhalte werden nicht heruntergeladen. (https://networkguy.de/allowing-whatsapp-and-facebook-via-firewall-rules/ wurde beachtet)
2. Ausgehender Datenverkehr von meiner Workstation zu meinem Email Server über Port 993 wird ebenfalls geblockt, obwohl die Regel ganz oben steht und ALLOW besagt.
3. Wenn ich meine Public IP von extern z.B. über ShildsUp, Heise.de Netzwerkscanner oder von meinem eigenen externen Server mit nmap scanne (-sT full connect und -sS synscan), werden mir ALLE Ports als offen zurück gemeldet. :o Im Live Log der OPNsense sehe ich jedoch, dass der Traffic über die BLOCK Regel abgewiesen wird.
Wenn ich von meiner Workstation vom HOMENET aus die OPNsense mit nmap auf ihrer internen Schnittstellen IP (10.0.0.1) scanne, bekomme ich das selbe verhalten. Ich sehe, dass alle Pakete für die nicht im Regelwerk definierten Ports geblockt werden, nmap selbst zeigt mir aber alle Ports als offen an.
Ich verstehe dieses Verhalten nicht und bin mir nicht sicher, ob das Bug oder Feature ist.
Von kommerziellen FW wie Forti, Huawei, Sophos oder Cisco kenne ich ein solches Verhalten nicht.
Ich würde mich über Erleuchtung zu diesem Thema freuen.
Grüße
seni
-
- bitte mal einen grafischen netzwerkplan
https://forum.opnsense.org/index.php?topic=12697.0
- bitte screenshots von deinen erstelleten regeln
- eigenlich sollte alles ohne extra regeln funktionieren (whatsapp, mail sollte mit der default any regel immer funktionieren) bitte auch genau beschreiben was du mit deiner erstellten regel erreichen wolltest (was genau dein ziel war)
-
Von kommerziellen FW wie Forti, Huawei, Sophos oder Cisco kenne ich ein solches Verhalten nicht.
Warum dann wechseln?
-
@micneu
Erstmal vielen Dank für deine Antwort ich hoffe du kannst mit meinen Angaben unten etwas anfangen und Licht ins Dunkle bringen.
- bitte mal einen grafischen netzwerkplan
Nicht besonders schön, es sollte allerdings alles wichtige daraus hervor gehen.
(https://i.imgur.com/iyK0MCU.png)
- bitte screenshots von deinen erstelleten regeln
Regeln des HOMENET Interface:
(https://i.imgur.com/Fk4QTGg.jpg)
Regeln des LAN Interface:
(https://i.imgur.com/yONf05I.jpg)
Regeln des WAN Interface:
(https://i.imgur.com/EhEe1xg.jpg)
NAT Port Forward Regeln:
(https://i.imgur.com/FFkzVCx.jpg)
NAT Outbound Regeln:
(https://i.imgur.com/PlvLxJM.jpg)
Anmerkung: Die BLOCK Regeln am Ende habe ich zu Troubleshooting zwecken eingefügt.
-[...]bitte auch genau beschreiben was du mit deiner erstellten regel erreichen wolltest (was genau dein ziel war)
Ich bin Paranoid :o, daher möchte ich wissen wie und wohin meine Geräte ihre Daten schicken. Daher möchte ich jeden ausgehenden Verkehr blocken, außer den, den ich explizit zulasse. Normalerweise konfiguriere ich FW Regeln sehr strikt und nur zu bekannten Zielen z.B. PC1 darf sich nur zu IP/URL X über Port Y verbinden. Hier im Heimnetz bin ich erstmal etwas offener was das angeht, wenn irgendwann mal alles funktioniert wird nachgebessert.
Warum z.B. Port 993 trotz "allow" geblockt wird erschließt sich mir gerade noch nicht. Ebenso das mobile Endgerät mit der any-any Regel, da funktioniert Whatsapp nur eingeschränkt, wird aber auf LTE (Mobile Daten) umgestellt, läuft Whatsapp wieder ohne Probleme.
@Bob.Dig
Beruflich habe ich schon FW der genannten Hersteller konfiguriert, ist also kein "wechsel". Für daheim... nuja, da ist ein Stück Blech mit einer OPNsense Installation kostengünstig und ausreichend. Muss da nicht unbedingt 2k raus hauen. Aber das gehört jetzt nicht hier her.
-
schmeiß doch ermal alle von dir extra erstellen regel weg und schau erstmal ob es mit der default alles funktioniert
danakch kannst du doch immernoch anfangen die dienste (geräte) einzuschrenken.
bei den ganzen regeln sehe ich gerade keinen wald vor lauter bäumen
ich bin auch ein wenig verwirrt, warum machst du portforwarding für voip, ich habe bei mir nur outbound nat konfiguiert.
PS: ich empfehle dir echt schmeiß dir komplette konfig weg und fang langsaam mit der default konfig an, das ist eigentlich alles dich(von aussen) (ich habe nicht jede regel angeschaut aber irgend wo machst du das scheuen tor warscheinlich selber auf bei den ganzen regeln)
-
@micneu
Eigentlich ungern, ich spiele allerdings schon mit dem Gedanken als Notlösung die ganze OPNsense neu zu installieren.
Ich finde das Verhalten der sense mehr als seltsam.
Schau dir das mal an:
(https://i.imgur.com/dO93UuK.jpg)
Hier wird versucht von einem Handy einen der Whatsapp Server zu erreichen.
10.0.0.62 -> 157.240.247.60 (https://otx.alienvault.com/indicator/ip/157.240.247.60)
Witzig ist, dass obwohl das Gerät die allow any-any Regel hat, der Traffic genau zu dem Server geblockt, dann aber einige Sekunden später erlaubt und kurz darauf wieder geblockt wird. Fast so wie ein Wackelkontakt in den Regeln. :o Am ausgehenden highport kann es auch nicht liegen, denn der wird einmal erlaubt und einmal geblockt.
Das Regelwerk geht doch von oben nach unten, richtig?
Bedeutet auf dem Weg des https Paketes von oben bis zur default deny Regel, kommt es an "allow https" und "allow any-any" vorbei, wird aber irgendwie nicht gematched und landet schließlich bei der default deny und wird geblockt. :o Das finde ich momentan völlig seltsam.
-
du musst sie nicht neu aufsetzen, einfach system --> configuration --> defaults
einfach zurücksetzen
-
Meinste das behebt dann auch das komische WAN verhalten, dass angeblich alle Ports offen sind?
-
davon gehe ich aus. ich hatte ja schon geschrieben das ich mir vorstellen könnte das du selber irgendwo bei den ganzen regeln das scheunentor aufgemacht hast.
- mach langsam, ein thema nach dem anderen (ich persönlich will mich zuhause nicht totadministrieren und halte es einfach)
- ich persönlich finde es blödsinnig jeden dienst einzeln freizugeben, aber das muss ja jeder für sich entscheiden
- nutze auch die forum suche, ich bin der meinun g das einige deiner themen schon hier behandelt wurden und auch mit glück gelöst sind oder dir den richtigen schubser