Hallo,
für die Gäste habe ich ein GastLAN Vlan100 eingerichtet.
Mein Handy verbindet sich und bekommt eine IP Adresse, hat aber keinen Internet Zugriff.
Was habe ich hier vergessen?
Gruß
Alexander
Wie definierst du keinen Internet Zugriff? Eventuell ist es nur ein DNS Problem... Kannst du IPs anpingen, zB 8.8.8.8? Ansonsten helfen natürlich Screenshots von den relevanten Einstellungen.
Quote from: alex3003 on May 30, 2023, 09:30:31 AM
Hallo,
für die Gäste habe ich ein GastLAN Vlan100 eingerichtet.
Mein Handy verbindet sich und bekommt eine IP Adresse, hat aber keinen Internet Zugriff.
Was habe ich hier vergessen?
Gruß
Alexander
Firewallregeln? Outbound NAT? ;-)
Quote from: chemlud on May 30, 2023, 10:16:41 AM
Firewallregeln? Outbound NAT? ;-)
Was muss ich dort eintragen?
Beim LAN Netz hatte ich dort auch nichts eingetragen, und es hat auf Anhieb funktioniert.
Für das LAN-Netz wird die OPNsense mit Default-Regeln geliefert, damit "ein Uplink, ein LAN, Internet" auf Anhieb funktionieren.
Wenn du neue Interfaces hinzufügst, musst du dir die Regel, die für LAN existiert angucken, kopieren, und für dein neues Netz anpassen.
Quote from: alex3003 on May 30, 2023, 12:25:03 PM
Quote from: chemlud on May 30, 2023, 10:16:41 AM
Firewallregeln? Outbound NAT? ;-)
Was muss ich dort eintragen?
Beim LAN Netz hatte ich dort auch nichts eingetragen, und es hat auf Anhieb funktioniert.
...dann ist dein GAST Netz kein Gastnetz.
Probiere es mal hier
https://docs.opnsense.org/manual/how-tos/guestnet.html
Hier ist es eigentlich gut beschrieben. Einfach prüfen bzw. "nachbauen".
;)
Jetzt funktioniert es.
Ich hab es so gelöst wie im Screenshot, ist es so korrekt oder fehlt noch was?
Vielen Dank für die guten Tips ;)
Sollte eigentlich passen. Probiert, dass es auch geht und der DNS funktioniert?
...falls wirklich auf LAN noch die "allow any any" Regel ist würde ich da etwas spezifischer erlauben/blockieren...
Quote from: chemlud on May 31, 2023, 09:47:08 AM
...falls wirklich auf LAN noch die "allow any any" Regel ist würde ich da etwas spezifischer erlauben/blockieren...
Bis jetzt habe ich dort nicht geändert.
Habe nur Telekom Zugang, dhcp, fest IP und Gast LAN angelegt.
Was sind denn Sinnvolle Einstellungen die man machen soll?
IDS / IPS?
Das ist keine einfache "ja/nein" Selektion, sondern etwas was sehr spezifisch auf dein Nutzungsverhalten ankommt und was du erreichen/anbieten willst. IDS/IPS ist schnell gern als Allheilmittel am Start, wenn es aber als anmachen & vergessen Lösung genutzt wird recht nutz- und sinnbefreit.
Cheers :)
Quote from: alex3003 on May 31, 2023, 11:19:53 AM
Quote from: chemlud on May 31, 2023, 09:47:08 AM
...falls wirklich auf LAN noch die "allow any any" Regel ist würde ich da etwas spezifischer erlauben/blockieren...
Bis jetzt habe ich dort nicht geändert.
Habe nur Telekom Zugang, dhcp, fest IP und Gast LAN angelegt.
Was sind denn Sinnvolle Einstellungen die man machen soll?
IDS / IPS?
Das kommt drauf an, wen du im LAN am Start hast. Nur dein Banking? Dann würde ich nur sehr wenige Ports offen lassen und den Rest dicht machen per Firewallregel.
Wenn da Windows10/Apple/Android Schrott unterwegs ist, wirst du mit der Policy vermutlich Probleme (mit den Usern, die über deine Nazi.Firewall jammern) bekommen. Dir Kinder graben sich ein Mullvad o.ä. und sind trotzdem raus. Also alles hängt (wie immer) an deinem thread model. Was brauch ich? Wieviel Risiko will ich eingehen?
Notfalls halt auch für die "internen" Devices 2-3 unterschiedliche Interfaces, je nach gewünschtem "Reinheitsgrad" für das entsprechende Netz/Device.
Die Regeln sind erstmal wichtiger, als IDS/IPS. Aber am Ende kann dann die Malware auch über Port 80, 443 o.ä. raus telefonieren...
Mir ist gerade aufgefallen das ich mit der DynDNS Adresse nicht mehr auf meine Diskstation komme, von Lokal.
Von extern geht es.
Was muss dafür eingetragen werden?
Quote from: alex3003 on May 31, 2023, 10:34:28 PM
Mir ist gerade aufgefallen das ich mit der DynDNS Adresse nicht mehr auf meine Diskstation komme, von Lokal.
Von extern geht es.
Was muss dafür eingetragen werden?
Ich habe den Dienst UNBOUND (und auch im Zusammenspiel mit Adguard) aktiviert und dort eine Domainüberschreibung eingetragen. Somit geht die DynDNS Adresse direkt zur Synology ohne Umwege.
Quote from: Ronny1978 on June 01, 2023, 06:17:19 AM
Ich habe den Dienst UNBOUND (und auch im Zusammenspiel mit Adguard) aktiviert und dort eine Domainüberschreibung eingetragen. Somit geht die DynDNS Adresse direkt zur Synology ohne Umwege.
Hallo Ronny,
habe jetzt Adguard installiert, aber wie bzw. wo hast du eine Domainbeschreibung eingetragen für die Synology?
Filter -> DNS Umschreibungen -> bei Domain dann ds....synology.me oder sowas eintragen und bei der IP dann halt die IP der DS im Netz (zum Beispiel 192.168.1.20 bei mir).
Quote from: Ronny1978 on June 02, 2023, 05:17:12 AM
Filter -> DNS Umschreibungen -> bei Domain dann ds....synology.me oder sowas eintragen und bei der IP dann halt die IP der DS im Netz (zum Beispiel 192.168.1.20 bei mir).
Vielen Dank für die Hilfe, das hat funktioniert.😄
Jetzt funktioniert jedoch das GAST- LAN nicht mehr.
Muss ich dafür auch noch was einstellen?
Hallo Alex,
was hat denn das GAST LAN mit deiner Synology zu tun? Kannst du mal die config von den Firewallregeln des GAST LANs posten?
Nachdem ich UNBOUND und Adguard eingerichtet habe war der Internetzugang vom Gast-LAN weg, vorher war alles da.
Ich vermute das es mit Adguard zu tun hat.
Hier die Gast-LAN dhcp Einstellung.
Hallo Alex,
gut, dann hat das erstmal nix mit der Domainumschreibung im Adguard oder deiner Synology zu tun. Das ist dann ein Config Problem beim Adguard oder Unbound?
1. Login Adguard geht?
2. Adguard ist auf der OpnSense selbst als PlugIn oder wo anders?
3. Wenn auf der OpnSense selbst -> auf welchem Port steht der Unbound?
4. Internet vom LAN geht?
Bitte mal noch die Zuarbeit. Wir bekommen das hin ;)
1. Login geht.
2. Adguard ist auf OPNsense als Plugin.
3. Unbound konfig im Angang
4. Im LAN geht alles, auch Werbeblocker.
Hallo Alex,
werden im Adguard (siehe Anhang) beide Netze angezeigt? LAN und GAST? Bei Unbound ist aber das GAST Netz mit angehakt, auf das auch gehört wird???
Hallo Ronny,
bei mir wird nur das LAN angezeigt
Bei Dir wird aber auch nur ein Netz angezeigt, hast Du kein GAST LAN oder läuft das bei dir nicht über Adguard?
Hallo Alex,
bei mir wird nur ein Netz angezeigt, da mein Adguard außerhalb der OpnSense in einem Proxmox Container läuft. Als der Adguard - wie bei dir - als Plugin auf der OpnSense gelaufen ist, wurden ALLE Netze bzw. ALLE Schnittstellen, auf die der Adguard hören soll, auch angezeigt. Daher geht mit Sicherheit auch dein LAN.
Schau mal bitte im Anhang, ob im Unbound auch die GAST Schnittstelle angehakt ist. Wenn es dann noch nicht geht, müssen wir mal schauen, wo man das nachträglich im Adguard noch eintragen muss.
Bitte hakt nicht im Unbound oder sonstigen Services einzelne Schnittstellen an sondern behaltet die Default-Einstellung. Da steht nicht umsonst "All (recommended)".
Dafür, dass von außen keine bösen Buben auf dem Service rumtrommeln sorgen die Firewall-Regeln. Es gibt wirklich sehe selten einen Grund, an der Schnittstellen-Einstellung zu drehen.
Quote from: pmhausen on June 09, 2023, 10:20:59 AM
Bitte hakt nicht im Unbound oder sonstigen Services einzelne Schnittstellen an sondern behaltet die Default-Einstellung. Da steht nicht umsonst "All (recommended)".
Dafür, dass von außen keine bösen Buben auf dem Service rumtrommeln sorgen die Firewall-Regeln. Es gibt wirklich sehe selten einen Grund, an der Schnittstellen-Einstellung zu drehen.
Wie im Anhang von mir von Gestern zusehen ist, habe ich an der Einstellung nichts geändert (Alle empfohlen).
Im Adguard fehlt die IP Adresse vom GAST LAN, wie bekomme ich die da rein?
Hallo Alex.
Du musst über die Shell der OpnSense in den Ordner von Adguard. Vorher den Dienst stoppen, die .yaml bearbeiten und dann den Dienst wieder neu Starten und ggf. mal die OpnSense "durchstarten. Such mal bei Google oder im hier im Forum.
https://forum.opnsense.org/index.php?topic=33528.msg162134#msg162134 (https://forum.opnsense.org/index.php?topic=33528.msg162134#msg162134)
https://forum.opnsense.org/index.php?topic=27186.msg131930#msg131930 (https://forum.opnsense.org/index.php?topic=27186.msg131930#msg131930)
https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configuration-file (https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configuration-file)
Super, vielen Dank Ronny :) ;) :)
Das hat funktioniert.
Da wäre ich so schnell nicht drauf gekommen, das man per ssh die IP nachtragen muss.