Hallo Leute,
ich bin mit meiner OPNsense jetzt auf eine Hardware umgezogen, die zwar performant genug ist, um mit OPNsense umzugehen und die Weboberfläche braucht nicht 5 Minuten, um umzuschalten zwischen den einzelnen Seiten, aber bei der grundlegenden Einrichtung der Firewall habe ich immer noch Probleme. Ich weiß nicht, ob es mangelndes Grundwisen und/oder Verständnis der Arbeitsweise von OPNsense ist, ich schätze beides. Ich bräuchte ein wirklich gutes Tutorial zur Einrichtung der Firewall regeln oder auch ein Udemy Kurs oder Ähnliches. Die youtube Tutorials sind alle relativ schlecht, habe ich den Eindruck und bei den Dokumentationen steige ich nach 5 Minuten lesen aus.
Der Aufbau meines Netzwerk ist recht simpel:
| Gateway | (or Router, CableModem, whatever)
'-----+-----'
|
WAN | IP or Protocol
|
.-----+------.
| OPNsense 192.168.1.1/24
'-----+------'
|
LAN | 192.168.1.0/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (Clients/Servers)
Die Rules habe ich angehangen.
Davon abgesehen, dass mein Hintergrundwissen lückenhaft ist, irritiert mich am meisten, dass sobald ich UDP rausnehme bei den "pass"-Regeln, kein Webserver mehr erreichbar ist: Beispiel startpage.com
Ich dachte http und https gehen über das TCP Protokoll. Wozu ist dann UDP notwendig in dem Fall?
Soviel zu meiner konkreten Frage.
Ich hab auch WAN komplett ignoriert, weil ich dachte die Konfig am LAN reicht.
Besten Dank für die Rückmeldungen!
Bogotrax
Btw.: Gibt es einen Discord Channel für OPNsense?
(https://i.postimg.cc/hg4hkHFb/rules.png)
https://postimg.cc/bdxcfTbh (https://postimg.cc/bdxcfTbh)
Wenn du dir unsicher bist, weshalb benutzt du nicht das Default-Setup? Das funktioniert und ist so sicher wie jede Fritzbox oder anderer SOHO-Router auch.
+1 und eine Fritzbox ist auch viel einfacher zu verstehen.
Ich will ihm keineswegs die OPNsense ausreden. Aber erstmal "Internet" mit den Defaults herstellen und eine Weile betreiben, gucken, ob alles funktioniert, fehlende Features (Adblock z.B.) einrichten ... Hilfe dazu gibts hier reichlich.
Von Tag 1 an den Firewall-Regeln rumschrauben, ohne zu wissen, dass UDP z.B. zwingend nötig für DNS ist, ist da eher kontraproduktiv.
@Bogotrax, eine frisch aufgesetzte OPNsense ist "sicher genug" für jedes Heimnetz. Erst wenn du extern ereichbare Dinge (Minecraft, Nextcloud, ...) aufsetzen möchtest, oder remote Zugang (VPN, DynDNS, ...) musst du anfangen, zu "schrauben".
Perfekt - das Problem ist behoben. Dank der Regel für Port 53 und UDP geht es jetzt. Danke!
Ich möchte wirklich niemanden auf den Schlips treten, sondern dazulernen. Ist den die Config sonst ok - also mit eingehend und ausgehend oder soll ich die eingehenden komplett rauslassen?
Eigentlich möchte ich so wenig wie möglich raus- oder reinlassen.
Kennst du denn ein gutes Tutorial?
(https://i.postimg.cc/w7C0cYPh/regeln2.png) (https://postimg.cc/w7C0cYPh)
Du brauchst keine ausgehenden Regeln. Wirklich so gut wie nie. OPNsense ist eine Stateful Firewall.
Ein Client startet eine ausgehende Verbindung vom LAN ins Internet, z.B. zu forum.opnsense.org Port 443.
Das ist aus der Sicht der OPNsense ein auf dem LAN Interface eingehendes Paket. Es kommt vom Client zum LAN Interface in die OPNsense hinein.
Wenn es dafür eine "allow" Regel gibt, ist nach diesem Paket die gesamte bidirektionale Kommunikation zwischen dem Forum und deinem Browser erlaubt, bis die Verbindung wieder abgebaut wird.
Die meisten deiner Regeln sind also überflüssig und natürlich ist ein "erlaube alles eingehend" auf dem LAN erstmal ok, wenn sich im LAN nur bekannte Geräte befinden.
Hat man es dann z.B. mit IoT-Geraffel zu tun, dann will man das vielleicht in ein extra LAN/VLAN packen und stärker einschränken.
Zwischenzeitlich lege ich dir dieses Buch ans Herz:
https://der-opnsense-praktiker.github.io/
Besten Dank für die ausführliche Rückmeldung und die Unterweisung in die Grundlagen. Ich habe mir das Buch bestellt und werde mich einlesen. Ich wünsche noch einen angenehmen Abend!