Folgendes Setup:
2 Interfaces:
- Internet-Zone
- Green-zone
Wenn ich nun auf das Admin-WebGUI aus der Internetzone zugreife, dann sehe ich, dass folgende Rule greift: "anti-lockout rule"
Wenn ich nun bei Firewall->Rules schaue, dann sehe ich, dass nur das Internet Interface eine solche Rule hat. Diese Rule wurde sogar automatisch eingerichtet.(siehe angehängtes Bildchen)
Wie kann ich erreichen, dass ich auf das Webinterface nur aus der Green-Zone zugreifen kann ?
Und das heist du möchtest es nicht aus dem Internet erreichbar machen das ist einfach .. deine ip adresse rein kein Mensch versteht diese Firewall... Meine läuft auch nicht.. Blockiert Internet an denn anschlüssen etc aber ich hab immer hin geschafft das nicht 0 da steh also daten werden nun übertragen aber internet gibs trotzdem nicht..
@mathie, greifst du wirklich von außen zu? Also z.B. über eine Mobilverbindung? Wenn dein Browser auf einem Gerät im LAN läuft, kommt der Zugriff aus der grünen Zone, auch wenn du die externe IP-Adresse eingibst.
Quote from: pmhausen on February 06, 2023, 01:49:19 PM
@mathie, greifst du wirklich von außen zu? Also z.B. über eine Mobilverbindung? Wenn dein Browser auf einem Gerät im LAN läuft, kommt der Zugriff aus der grünen Zone, auch wenn du die externe IP-Adresse eingibst.
Richtig, genau das ist der Hintergrund: Ich will eben erreichen, dass ich z.b. mit dem WLAN (Internetzone: 192.168.178.0/24), wo ich dem User eine Adresse direkt von der Fritzbox gebe
nicht auf die Grüne-Zone (192.168.188.0/24) zugreifen kann. Im Grunde ist das auch der Fall, nur eben gibt es für die OpnSense-Admin-Services: 443/22/80 scheinbar die automatisch generierte Rule (siehe Bildchen)
(https://forum.opnsense.org/Bildschirmfoto_2023-02-06_12-05-27.png)
OpnSense IP 192.168.188.1
Mobiltelefon IP: 192.168.178.43
Ich habe den Zugriff von Mobiltelefon auf OpenSense erfolgreich getestet. Und ich denke ich habe die Zonen korrekt eingerichtet.
Was mich jetzt allerdings wundert, ist, dass die "anti-lockout rule" ja für die Internetzone generiert worden ist. Theoretisch sollte die in dem von mir beschriebenen Zugriff: internet->green-zone eigentlich gar nicht greifen.... wenn schon, dann nur ausgehend, oder ?
Ja Sollte könnte müsste das Programm is schrott und macht was es will.. oder es macht garnichts hat irgendein BUG .. ich kann einstellen voll hauen nichts passiert nichts wird gefilter nichts wird blockiert , oder alle wird blockiert...
Quote from: Corefice on February 06, 2023, 07:17:02 PM
Ja Sollte könnte müsste das Programm is schrott und macht was es will.. oder es macht garnichts hat irgendein BUG .. ich kann einstellen voll hauen nichts passiert nichts wird gefilter nichts wird blockiert , oder alle wird blockiert...
Ich bin absolut nicht der Meinung, dass opnsense Schrott ist. Das System funktioniert bei mir zu Hause seit gut über einem Jahr einwandfrei. Einzig die Hardware hat sich am Samstag verabschiedet, weswegen ich es komplett neu aufsetzen musste. Glücklicherweise hatte ich ein Backup der Config - leider nicht ganz aktuell, aber immerhin - von der ich starten konnte. Andernfalls wäre es richtig mühsam geworden.
Ich denke es handelt sich um ein spezielles Phänomen, was mit dem richtigen Wissen vermutlich leicht gelöst werden kann.
Quote from: mathie on February 06, 2023, 03:29:26 PM
Was mich jetzt allerdings wundert, ist, dass die "anti-lockout rule" ja für die Internetzone generiert worden ist. Theoretisch sollte die in dem von mir beschriebenen Zugriff: internet->green-zone eigentlich gar nicht greifen.... wenn schon, dann nur ausgehend, oder ?
Folgendes aus meiner persönlichen Erfahrung mit der Sense:
Das Standard-IF für WAN ist der erste Port - zumindest wenn man den Wizzard benutzt - also scheint sich die automatische anti-Lockout-Rule daran zu orientieren, selbst wenn man das WAN IF eben (später) auf einen anderen Port gelegt hat. Das hat mich auch schon angekotzt, weil man das Verhalten wohl (nachträglich) nicht ändern kann.
Warnung: Folgende Info auf eigenes Risiko!Du kannst die automatische Anti Lockout Rule deaktivieren, um zu testen, ob sich das gewünschte Verhalten dadurch einstellt. Den Punkt findest du unter Firewall -> Settings -> Advanced -> Disable anti-lockout.
Falls du dich dadurch selbst aus der Firewall aussperrst: ich bins nicht gewesen - du wurdest gewarnt!
@Inkasso:
| Port | pfSense | OPNsense |
| 1 | WAN | LAN |
| 2 | LAN | WAN |
Quote from: pmhausen on February 07, 2023, 12:18:48 PM
@Inkasso:
| Port | pfSense | OPNsense |
| 1 | WAN | LAN |
| 2 | LAN | WAN |
Asche auf mein Haupt ;D
Dabei hab ich die PFSense noch nicht mal zum Testen im Einsatz gehabt obwohl mir viele von der opn abgeraten haben. Habe meine Entscheidung bis heute nicht bereut. Und ich hatte mir den Anfang erheblich schwerer vorgestellt, als es eigentlich war - auch wenn ich mich am Anfang gefühlt alle 20 Minuten ausgesperrt hatte und dann ein Rollback der Konfiguration auf einen funtkionierenden Stand gemacht hab :D
PS: Ich persönlich mag das WAN immer auf dem/den höchsten Port(s) haben. Von daher war bei meiner 4-Port-Hardware sowohl 1 als auch 2 für die von mir bevorzugte Lösung falsch.
Wer glaubt, er hätte seine sense komplett im Griff, der ist schon auf dem Weg in die Katastrophe :-D
...es gibt immer noch einen Knopf in der GUI, den man nicht kennt und eine Regel, von der man nichts weiß. Ausgenommen die Devs, latürnlich.
Quote from: inkasso on February 07, 2023, 12:15:46 PM
Warnung: Folgende Info auf eigenes Risiko!
Du kannst die automatische Anti Lockout Rule deaktivieren, um zu testen, ob sich das gewünschte Verhalten dadurch einstellt. Den Punkt findest du unter Firewall -> Settings -> Advanced -> Disable anti-lockout.
Falls du dich dadurch selbst aus der Firewall aussperrst: ich bins nicht gewesen - du wurdest gewarnt!
Weiss nicht ob das der Königsweg ist, aber es tut. Besten Dank an alle Beteiligten !!
Quote from: mathie on February 07, 2023, 04:25:42 PM
Quote from: inkasso on February 07, 2023, 12:15:46 PM
Warnung: Folgende Info auf eigenes Risiko!
Du kannst die automatische Anti Lockout Rule deaktivieren, um zu testen, ob sich das gewünschte Verhalten dadurch einstellt. Den Punkt findest du unter Firewall -> Settings -> Advanced -> Disable anti-lockout.
Falls du dich dadurch selbst aus der Firewall aussperrst: ich bins nicht gewesen - du wurdest gewarnt!
Weiss nicht ob das der Königsweg ist, aber es tut. Besten Dank an alle Beteiligten !!
Du hast ja GANZ OBEN bei den FW-Regeln für deine "green zone" eine Regel, die die gewünschten Rechner aus dem LAN auf die GUI der OPNsense läßt. Somit ist alles gut... ;-)