Moin.
Die Sufu habe ich bemüht, bin aber leider nicht fündig geworden.
Zum Setting: OPNsense frisch aufgesetzt. GUEST und IOT als isolierte VLANs mit entsprechenden Regeln in der Firewall eingerichtet. Unter Floating IP-Blocklisten (nach https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-ip-blocklisten-einrichten/ (https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-ip-blocklisten-einrichten/) für LAN, GUEST, IOT konfiguriert). Bei Unbound DNS alle Blocklists aktiviert. Ansonsten alles so belassen, wie es war. Syncookies sind nicht aktiviert, was ja default ist.
Phänomene, auf die ich mir keinen Reim machen kann:
1) Mein Rechner zum Administrieren kann, wenn ich im LAN bin, bis auf X keine Social-Media-Seiten im Browser öffnen, ganz egal ob die IP-Blocklisten und DNS-Blocklisten aktiviert sind oder nicht. Ein anderer Rechner im IOT-Netzwerk kann das hingegen bei aktivierten Listen ohne Probleme.
2) Trotz aktivierter Firewall-Regel (block LAN net zu IOT net) kann ich die Firewall im IOT erreichen sowie Rechner dort fernsteuern, wenn ich im LAN bin. Ein Deaktivieren der anti-lockout rule bringt nichts.
Ich bin ein bisschen ratlos. Wenn Ihr ne Vermutung habt oder mehr Infos braucht, meldet Euch gerne.
Floating Rules
Guest Rules
IOT Rules
LAN Rules
Deine erste Regel für LAN erlaubt ALLES. Die greift auch als erstes, die Block-Regeln müssen oberhalb davon stehen.
Quote from: chemlud on September 12, 2024, 10:31:53 AM
Deine erste Regel für LAN erlaubt ALLES. Die greift auch als erstes, die Block-Regeln müssen oberhalb davon stehen.
Danke für den Hinweis. Die beiden ersten Regeln bei LAN waren standardmäßig gesetzt. Nach verschieben komme ich nun nicht mehr per Fernzugriff auf Rechner im IOT. Danke!
Der Zugriff auf 192.xxx.xx.1 vom IOT geht, selbst wenn ich eine Block-Regel (LAN net auf IOT address) definiere.
Quote from: weilander on September 12, 2024, 10:55:02 AM
Der Zugriff auf 192.xxx.xx.1 vom IOT geht, selbst wenn ich eine Block-Regel (LAN net auf IOT address) definiere.
Keine Ahnung was 192.xxx.xx.1 ist, aber wenn du den Zugriff auf die GUI im IOT Netz blockieren willst, muss TCP von IOTnet auf IOTaddress port 80 und 443 blockiert werden. Ganz oben in der Liste.
Quote from: chemlud on September 12, 2024, 11:29:24 AM
Keine Ahnung was 192.xxx.xx.1 ist, aber wenn du den Zugriff auf die GUI im IOT Netz blockieren willst, muss TCP von IOTnet auf IOTaddress port 80 und 443 blockiert werden. Ganz oben in der Liste.
Da haben wir uns missverstanden oder ich habe mich nicht klar ausgedrückt. Ich versuche es noch einmal deutlicher zu machen.
GUEST und IOT sind isoliert, siehe Regeln. Ich habe IOT net auf IOT address als Block definiert. Das funktioniert zuverlässig. Von Rechnern aus dem IOT- oder GUEST-Netz ist kein Zugriff auf die GUI bzw. die Weboberfläche der OPNsense (die jeweils unter xxx.xxx.xx.1 erreichbar ist) möglich. Wenn ich aber mit einem Rechner aus LAN auf die GUI bzw. die Weboberfläche der OPNsense im IOT- oder GUEST-Netz zugreife, wird der Zugriff trotz Regeln nicht blockiert.
Natürlich nicht - der Zugriff kommt ja vom LAN aus und der ist erlaubt.
Quote from: Patrick M. Hausen on September 12, 2024, 12:06:09 PM
Natürlich nicht - der Zugriff kommt ja vom LAN aus und der ist erlaubt.
Heißt das, dass Block LAN net auf IOT net nicht für die GUI/Weboberfläche der Firewall gilt, sondern nur für den zugewiesenen Adressraum?
Denn wie ich oben geschrieben habe, konnte ich nach dem Verschieben der Block-Regeln nach oben aus dem LAN net zumindest nicht mehr auf Rechner im IOT net per Fernzugriff zugreifen.
..nach dem verschieben der regeln die states gelöscht? oder ggf. einfach einen reboot und nochmal probieren...
Quote from: chemlud on September 12, 2024, 12:21:42 PM
..nach dem verschieben der regeln die states gelöscht? oder ggf. einfach einen reboot und nochmal probieren...
Reboot ändert leider nichts.
Könnte das an der Anti-Lockout-Rule legen? Die wird zumindest in den Logs beim Zugriffsversuch angezeigt.
Quote from: weilander on September 12, 2024, 12:16:32 PM
Heißt das, dass Block LAN net auf IOT net nicht für die GUI/Weboberfläche der Firewall gilt, sondern nur für den zugewiesenen Adressraum?
Sorry, da hatte ich zu schnell aus der Hüfte geschossen - sollte geblockt werden, da hast du recht.
Aber weshalb willst du eigentlich den Zugriff von LAN ins IoT Netz blocken statt nur umgekehrt? Normalerweise ist doch das IoT-Geraffel das nicht vertrauenswürdige.
Quote from: weilander on September 12, 2024, 12:16:32 PM
Könnte das an der Anti-Lockout-Rule legen? Die wird zumindest in den Logs beim Zugriffsversuch angezeigt.
Wahrscheinlich. Ich deaktiviere die grundsätzlich überall. Ich mag keine "Magie" in meiner Firewall. Wenn du auf LAN eine "allow" Regel hast, die auch das UI abdeckt, dann brauchst du die nicht.
Hier: antilockout auf LAN. Trotzdem geht kein Zugriff auf die GUI in anderen lokalen Netzen. Einzige BLOCK rule ist eine generelle ipv4 Regel, wie oben gezeigt für LAN.
Quote from: chemlud on September 12, 2024, 03:02:25 PM
Hier: antilockout auf LAN. Trotzdem geht kein Zugriff auf die GUI in anderen lokalen Netzen. Einzige BLOCK rule ist eine generelle ipv4 Regel, wie oben gezeigt für LAN.
Keine Ahnung, wie Du das gemacht hast.
ABER: Wenn ich unter Firewall-Settings-Advanced die anti-lockout-rule rausnehme, kann ich auch nicht mehr auf die GUI im GUEST- und IOT-Netz zugreifen. So sind jetzt beide Netze wirklich isoliert. Danke!
Die Sache mit den Sozialen Medien kann ich mir jedoch nicht erklären.
Na so wie ich es beschrieben habe. auf mehreren installationen. alles hardware, nichts virtuell, keine VLANs.
Quote from: chemlud on September 12, 2024, 03:19:35 PM
Na so wie ich es beschrieben habe. auf mehreren installationen. alles hardware, nichts virtuell, keine VLANs.
Ok. Wie gesagt komme ich ohne die beiden VLANs nicht aus. Das Problem war tatsächliche die Reihenfolge der Regeln und die antilockout-rule. Danke für die Hilfe!
Jetzt gilt es nur noch dem Geheimnis mit den Social-Media-Seiten auf die Schliche zu kommen. Ich hab's auch schon mit nem andere Browser versucht, der mit quittierte die Anfrage mi "bad url".
...aus IOT hast du nur TCP/UDP freigegeben, aus LAN alle IPv4 Protokolle.
Quote from: chemlud on September 12, 2024, 05:03:12 PM
...aus IOT hast du nur TCP/UDP freigegeben, aus LAN alle IPv4 Protokolle.
Bei der Regel mit TCP/UDP bei IOT handelt es sich um die Freigabe für DNS (erste Regel); ganz unten ist dann IOT net allowed.
Ich sehe nicht, was das mit facebook, insta und co. zu tun hätte. Wenn DNS bei LAN nicht funktionieren würde, würde ich gar keine Seite erreichen können.