Hallo zusammen,
ich habe das komische Phänomen, dass private IP-Adressen über das WAN-Interface rausgehen.
Das Häckchen bei block private IPs ist drin, betrifft aber glaube ich nur eingehende Verbindungen.
Muss ich jetzt wirklich eine Firewallregel erstellen, die dies verbietet oder gibt es hierfür irgendwo eine Einstellmöglichkeit, dass generell keine privaten IP-Adressen über das WAN interface geroutet werden?
Alles, was nicht lokal an einem Interface hängt, oder anderweitig über eine statische Route geroutet wird, geht zum Default-Gateway raus, wohin denn auch sonst? Das macht jeder Router so.
Ok, verstanden.
Quote from: Patrick M. Hausen on August 28, 2024, 03:48:46 PM
Alles, was nicht lokal an einem Interface hängt, ... geht zum Default-Gateway raus, ...
Da bin ich überrascht. Mein Verständnis von RFC1918 ist, dass private Adressen nicht über Links mit öffentlichen Adressen geroutet werden sollen. Also sollte ein WAN Interface mit öffentlicher Adresse nicht alles an's Default Gateway schicken.
Bei der Einstellung Interfaces: Block private networks steht auch nichts von eingehenden Paketen. Wenn ich also nicht möchte, dass private Adressen ins WAN kommen, muss ich dann eine eigene Routing Regel einführen?
RFC 1918 Adressen sind technisch nicht anders als alle anderen auch. Es ist eine Konvention, dass Tier 1 Provider und auch die meisten Provider weiter "downstream" diese im Ingress blockieren. Dazu benötigt es aber spezielle Regeln auf den Backbone-Routern, es gibt da nirgends einen Automatismus. Wenn du die im Egress blocken willst, brauchst du entsprechende Regeln. Ansonsten wird sie mit ziemlicher Sicherheit dein ISP wegwerfen.
Woher soll ein Router denn wissen, ob eine Adresse "privat" oder "öffentlich" ist? Wie gesagt gibt es da bei IPv4 keinen technischen Unterschied.
Klar, technisch gibt es keinen Unterschied, da bin ich bei Dir. Ich sehe nur den Teil mit der Konvention anders. Mein bisheriges Verständnis ist, dass dies die Norm seien sollte und nicht irgendwas, was weiter oben behandelt wird.
Intuitiv würde ich erwarten, dass Traffic zwischen meinen privaten Netzen gar nicht erst "nach außen" gerät.
Wenn OPNsense also Pakete mit private Adressen auf WAN routet, wie sollte man das am besten verhindern? Eigene Routing Regel?
Edit: Normalerweise ist das sowieso kein Thema, da der Traffic zwischen meinen privaten Netzwerken über die lokalen Interfaces laufen sollte...
Quote from: mooh on August 28, 2024, 11:08:07 PM
Wenn OPNsense also Pakete mit private Adressen auf WAN routet, wie sollte man das am besten verhindern? Eigene Routing Regel?
Gar nicht? Wen juckt das? Der ISP wirft sie weg und gut ist.
Das ist ein Punkt, was ich bei OPNsense wesentlich besser finde.
Das Ding macht eben das, was man einstellt. Und nicht irgendwelche Dinge, die der Hersteller mal für sinnvoll befunden hat, sobald man abweicht aber in einem Chaos enden.
Ich wäre da nicht so sicher, dass der ISP sie einfach wegwirft: Deutsche Glasfaser reagiert mit kurzzeitigen Ausfällen.
Im Grunde ist man aber selbst schuld und ich würde auch nicht erwarten, dass OpnSense so etwas von sich aus blockt. Passieren kann das, wenn man irgendwo Subnetze hat, für die man vergessen hat, eine Outbound-NAT-Regel zu definieren oder wenn irgendwelche Appliances versuchen, Default-IPs im RFC1918-Range zu erreichen, die es aber lokal gar nicht gibt.
Ich habe auf dem WAN-Interface deswegen eine (einzige!) Out-Regel, die RFC1918 blockt.
Outbound NAT hilft ja nicht, wenn die RFC 1918 Adresse das Ziel ist. Dann müsste man aber eigentlich auch alle anderen reservierten Bereiche selbst sperren, CGNAT, APIPA, DS-Lite, 192.0.x ...
Es kann immer mal vorkommen, dass ein vergurktes Device sich zwar die Adresse und den Router ordentlich per DHCP holt aber z.B. einen DNS- oder NTP-Server aus einem anderen privaten Netz irgendwo fest konfiguriert hat. Das geht dann halt richtung Internet und bekommt nie eine Antwort.
Wenn man das selbst blockt, ist man auf jeden Fall ein besserer Netizen, ja :) Ich kenne nur keinen ISP, der sich darauf verlässt. Siehe: https://datatracker.ietf.org/doc/html/rfc7454#section-6.1
Wenn man damit bei der DG die Infrastruktur abschießen kann, und sei es nur die eigene Leitung, möchte ich dort bitte nie Kunde werden müssen.
Verlasst Euch nicht darauf, dass der ISP Pakete an private Zieladressen wegwirft. Insbesondere bei UDP können so vertrauliche Daten das Heimnetz verlassen. Ich habe bei mir eine entsprechende Floating-Regel für das WAN-Interface eingerichtet, welche Netzwerkpakete mit RFC1918 als Ziel herausfiltert.
Hierzu ein Erfahrungsbericht aus der Vergangenheit, lange vor Opnsense: Ich hatte damals noch eine Dial-Up-VPN-Verbindung ins Uni-Netz. Was war passiert? Die VPN-Verbindung ist abgebrochen und daraufhin wurden Netzwerkpakete mit dem Ziel-Adressbereich 10.0.0.0/8 über das WAN-Interface heraus geroutet. Der feine Unterschied war, dass ich dann zufälligerweise auf Rechner im internen Netz meines ISP getroffen bin und mit diesen kommuniziert hatte. ::)