Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: cklahn on May 31, 2024, 10:45:50 AM

Title: Einem VLAN nur Zugriff ins Internet erlauben
Post by: cklahn on May 31, 2024, 10:45:50 AM
Hallo Forum,

wir haben auf einer OPNsense auf dem Internal-LAN ein weiteres VLAN gelegt für einen WLAN-Gästezugriff. Dahinter hängt ein UniFi-Controller mit AP.

Nun wollen wir, daß das Interface "GästeWLAN" so konfigurieren, daß das lediglich nach draußen ins Internet darf, aber nicht in das Internal-LAN.

Habt Ihr einen kurzen Hinweis auf die Rules?

Besten Dank im Voraus.
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: Patrick M. Hausen on May 31, 2024, 10:52:26 AM
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: cklahn on May 31, 2024, 11:08:01 AM
Cool, funktioniert. Hatte das ähnlich, aber lediglich von der Reihenfolge andersrum :-).

Schönes WE...
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: Patrick M. Hausen on May 31, 2024, 11:10:56 AM
Regeln werden von oben nach unten abgearbeitet, und die erste, die matcht, gilt.
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: JeGr on June 06, 2024, 11:56:40 AM
Quote from: Patrick M. Hausen on May 31, 2024, 10:52:26 AM
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow

Da würde ich sicherheitshalber ein Alias "RFC1918" machen (mit allen privaten Netzen drin, 10/8, 172.16/12 und 192.168/16) und das als Destination für die 1. Regel setzen. Außerdem ein Reject statt Deny - der ist intern wesentlich schneller und gibt dem Client dadurch schneller zu verstehen "da kommst du nicht rein".

Zudem noch eine 2. Reject Regel zwischen #1 und #2 mit

Source: Gäste-LAN, Destination: This Firewall (self), Action: reject

und eine Regel vor der 1. Regel:

Source: Gäste-LAN, Destination: This Firewall (self), Port: DNS Action: allow

Warum?

Wenn man später dann noch weitere Netze hinzufügt ist nicht aus Versehen dann gleich der Zugriff aus dem Gastnetz möglich (weil man erst noch zusätzliche Deny Regeln machen müsste), sondern man ist schon komplett fertig gegen zusätzliche Netze abgesichert.
Auch: VPN (site2site) werden da gern vergessen, die ja auch meist interne Subnetze haben. Eins eingerichtet und plötzlich hätte der Gast da auch Zugriff drauf ;)
Darum lieber nen privaten-IP-Bereich Reject mit RFC1918 reinhauen - das wirkt erstmal wunder :)

Die anderen beiden Regeln: Erst DNS auf die Firewall erlauben (ganz oben, DNS auf self) - ich gehe mal davon aus, dass das Gästenetz DNS via Firewall bekommt - und dann nach dem Reject von RFC1918 dann ein Reject der Firewall sonst. Andernfalls können Gäste einfach so auf der Firewall rumstöbern und Login/Passwort Ratespiele spielen. Dem Gästenetz darf im Normalfall die Firewall sehr egal sein ;) die haben da keine Erlaubnis drauf. Mit "self"/This Firewall wird zudem bei anliegen einer echte public IP4 dann auch die verboten, damit findige Spezialisten nicht noch über diese an die WebUI kommen - alles schon dagewesen :)

Cheers
\jens
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: Patrick M. Hausen on June 06, 2024, 09:02:00 PM
@JeGr ich hab ein wenig vereinfacht  ;)

Ich hab eine Interface Gruppe namens "Restricted" und erlaube DNS, NTP, und dann eben alles außer "Local Networks". "Local Networks" ist nicht notwendigerweise identisch mit RFC 1918.
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: tom.goes.open on June 07, 2024, 11:16:06 PM
Die Idee mit der Restricted-Gruppe gefällt mir ganz gut, werde ich so übernehmen. Ich gehe davon, dass damit auch IPv6 abgefrühstückt ist? Wäre bei 10/8, 172.16/12 und 192.168/16 ja nicht der Fall.
Und noch eine Frage, wie ist dann die Reihenfolge der FW-Regel: erst Gruppe und dann einzelnes Interface oder umgekehrt?

Edit: OK, hat sich erledigt nachdem ich die erste Gruppen-Regel angelegt hatte war ersichtlich, dass ich wie üblich IPv4 und 6 auswählen kann und die Regeln an den Anfang gesetzt werden.
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: bimbar on June 10, 2024, 01:13:39 PM
Quote from: Patrick M. Hausen on May 31, 2024, 11:10:56 AM
Regeln werden von oben nach unten abgearbeitet, und die erste, die matcht, gilt.

Angenommen, Quick ist gesetzt.
Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: Adm1n-1337 on June 13, 2024, 11:11:12 PM
Quote from: Patrick M. Hausen on May 31, 2024, 10:52:26 AM
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow

Ich benutze nur eine Regel:

Source: Gäste-LAN, Destination: !RFC1918, Action: Pass

Damit ist auch direkt der Zugriff auf die OPNsense geblockt.

Erreiche ich damit nicht das gleiche Ergebnis oder was habe ich übersehen?

Title: Re: Einem VLAN nur Zugriff ins Internet erlauben
Post by: Patrick M. Hausen on June 13, 2024, 11:18:19 PM
Quote from: Adm1n-1337 on June 13, 2024, 11:11:12 PM
Erreiche ich damit nicht das gleiche Ergebnis oder was habe ich übersehen?
Nein, hast du nicht. Was auch immer für dich am übersichtlichsten ist. Ich komme eher vom Infrastruktur- und Hosting-Provider und was bei mir auf LAN, OPT1, OPT2, ... ist, ist nicht immer RFC 1918. Und dann ist da ja noch IPv6 - wir sind durch unser ganzes Netz hindurch Dual-Stack.

Suum cuique  :)
Text only | Text with Images