OPNsense Forum
International Forums => German - Deutsch => Topic started by: MartinMV on February 20, 2019, 03:37:14 am
-
Hallo zusammen,
leider schaffe ich es erst nach mehreren Jahren, mich mit dem Thema Firewall zu beschäftigen.
So mit der Grundeinrichtung hat, mMn erstmal alles gut geklappt.
Nun sieht es so aus, dass ich bei 2 Geräten verhindern möchte, dass diese nach Hause telefonieren.
Es handelt sich hierbei um 2 Stück Amazon Dash-Buttons, die, statt Bestellungen auszulösen, bitte mit einem iobroker (ein Server für Automationsaufgaben) kommunizieren sollen.
Es handelt sich hierbei um ESP8266 Geräte, die sich auf Knopfdruck mit dem Wlan verbinden und Ihre Bestellung an Amazon senden.
Grundaufbau Topologie meines ersten Versuchsaufbaus:
Fritzbox mit DSL(192.168.178.1) ---------- opnsense(192.168.0.103)
|-------------LAN-Netzwerk an igb0 (192.168.0.0)
| |------Geräte
|
|-------------Wifi-AP ubiquiti an igb2 (192.168.1.0)
|----------------------------- Geräte
|----------------------------- Dash Button
Nun möchte ich, dass zwar mein iobroker(192.168.1.128) im Lan-Interface die Kommunikation des o.g. Dash-Buttons mitbekommt, aber die Daten nicht an Amazon gesendet werden können.
Komplett das Wifi-Netz für den Internetzugang zu sperren fällt leider aus.
Alle möglichen, von mir getesteten Rules führen leider immer dazu, dass eine Bestellung ausgelöst wird, die man zum Glück noch stornieren kann. ;D
Gibt es hier eine "einfache Lösung?
btw: Falls hier irgendwo eine leicht verständliche Anleitung für opnsense gibt wäre ich um einen Link dankbar
lg
-
Auch dein Dash Botten benötigt eine IP. Sorge dafür, dass er per DHCP immer die selbe IP erhält, und sperre für diese die Verbindung ins Internet.
Ich kenne das Teil nicht. So wie ich Deinen Aufbau verstehe, wäre dies aber der Weg
-
Hallo,
danke für die schnelle Antwort.
Ich befürchte, dass meine Beschreibung in der Früh um 3 nicht ganz so toll was.
Im Netz Wifi an igb2 läuft ein DHCP-Server von opnsense. Das Gerät0 (dieser Dash-Button) bekommt hier die IP 192.168.1.103 als statischen Lease.
Nun muss ich im Netz LAN mit dem iobroker (IP 192.168.0.128) die Pakete vom Gerät0 aus dem Netz Wifi empfangen können, möchte aber verhindern, dass Gerät0 nach Hause telefonieren darf.
Hier spiele ich mich jetzt schon eine gefühlte Ewigkeit mit unterschiedlichen Rules und komme nicht weiter.
s. Bild.
Irgendwie hab ich da was noch nicht ganz kapiert. Ich brauch da mal ne gute Lektüre auch für den Unterschied zwischen net und adress bei den Rules.
lg, Martin
-
Hi,
"net" bezeichnet das ganze Netz, in deinem Fall ist WAN_net 192.168.178.0/24
address bezeichnet die Adresse des Interface in diesem Netz, daher die IP von OpnSense (192.168.178.XX/32)
Um Verkehr nur für das Internet zu sperren gehst du folgendermaßen vor:
Am besten du legst einen Alias an mit RFC1918 an und hinterlegst dort die privaten IP-Adressbereiche
Eine Block Internet Regel würde dann so aussehen:
BLOCK 192.168.101.103 Port* Destination !RFC1918 (wichtig ist das Invert==Rufzeichen daher alle NICHT privaten Adressen)daher alle NICHT privaten Adressen) Port *.
Übersetzt in Prosa, jeglicher Verkehr von 192.168.101.103 auf nicht private Adressen wird geblockt.
fg
-
Oder als Destination die Ip des iobroker anstatt RFC1918 nutzen, muss ja nicht das ganze lokale Netzwerk sein
-
@Mks,
danke, die Vorgehensweise hat funktioniert.
Da wäre ich nie drauf gekommen.
Ich brauch da dringend mal ne Einsteiger-Lektüre.
@mike69: Würde wohl genauso gehen, macht aber in dem Fall tatsächlich keinen Unterschied.
Im Endeffekt musste ich dann sowieso noch ein Vlan bauen und das mit dem Lan-Netzwerk bridgen, da ich es leider nicht geschafft hat, die komplette Kommunikation von dem Gerät ins anderen Netz umzuzuleiten, in dem der iobroker steht.
Gibt bestimmt ne schönere Methode, aber es funktioniert erstmal.
Wie gesagt, das mit der Lektüre...
Danke auf jeden Fall für die schnelle Hilfe.
Das kenn ich aus manchen Foren anders.
LG
-
@Mks,
danke, die Vorgehensweise hat funktioniert.
Da wäre ich nie drauf gekommen.
Ich brauch da dringend mal ne Einsteiger-Lektüre.
Dafür ist ein Forum da. :)
Lektüre gibt es zuhauf. Auch Tante Google kann deinen Tag retten.:)
Im Endeffekt musste ich dann sowieso noch ein Vlan bauen und das mit dem Lan-Netzwerk bridgen,
Du spannst ein VLAN auf und bridged es dann mit LAN? Das macht die ganze Sache irgendwie obsolet. Du meinst es anders, oder?
VLAN hat schon seine Berechtigung, auch im privaten Sektor, um zum Beispiel ein Gästezugang zu schaffen, ohne sein Subnet preiszugeben.
Von einem Subnet zum anderen geht oofb, nach der Konfiguration die States resetten nicht vergessen oder die Sense neu starten.
Hier als Beispiel unser WLAN:
(https://s17.directupload.net/images/190221/temp/b84jofnb.png) (https://www.directupload.net/file/d/5370/b84jofnb_png.htm)
Subnet vom WLAN ist 10.0.1.0/24, DNS-Abfrage und Zeitsynchronitation sind erlaubt, genauso der Zugang zum NAS und Druckert. Der Rest zum LAN ist geblockt danach geht es raus in die freie Welt. Alles kein Hexenwerk.
Wenn nichts raus soll, einfach die letzte Rule löschen. Es ist alles von Hause aus geblockt was nicht erlaubt ist.
Danke auf jeden Fall für die schnelle Hilfe.
Das kenn ich aus manchen Foren anders.
Siehe oben.
-
Oder als Destination die Ip des iobroker anstatt RFC1918 nutzen, muss ja nicht das ganze lokale Netzwerk sein
Ja klar, hast natürlich recht und ist die schönere und sauberere Variante.
Um das Prinzip zu erklären war mein Post, denke ich, dennoch ganz nützlich.
fg
-
Ist er.
Fühlst du dich auf den Schlips getreten? War nicht meine Absicht, sorry. Möchte hier keinen belehren oder diskriminieren, war nur als Hilfe gedacht.
-
Hi,
Nein keine Sorge. :)
Lg
-
Hi,
Nein keine Sorge. :)
Lg
Na dann ist alles gut :)
-
Moin,
ich weiss das Thema ist schon ziemlich alt, aaaaber ich versuchs trotzdem mal hier:
Wie gehe ich in diesem Fall mit IPv6 vor?
Ich habe einen anschluss bei der DGF und möchte einem speziellem client den Zugang via IPv6 zum internet sperren, dieser soll aber weiterhin intern via IPv6 erreichbar sein.
Schonmal danke für eure Hilfe :)
-
Pack ihn in ein extra Netz ...
-
OK, ich spezifiziere mal:
Wie muss ich den alias anlegen dass, wie bei RFC1918, alles ausser lokale Verbindungen geblockt werden?
-
Du kannst nicht per IP Adresse blocken bei IPv6. Außerdem ist das generell keine gute Idee für Egress-Kontrolle. Pack alle Geräte, die sich eine Policy teilen, in ein eigenes Netz. Es gibt VLANs. Interfaces hat man de facto so viele wie man will.
Evtl. kannst Du einen MAC Address Alias verwenden. Aber auch die kann ein nicht vertrauenswürdiges Gerät beliebig ändern. Deshalb separates Interface.
-
Irgendwie hab ich da was noch nicht ganz kapiert. Ich brauch da mal ne gute Lektüre auch für den Unterschied zwischen net und adress bei den Rules.
bei amazon gibt es ein buch das kannst du dir bestellen
https://www.amazon.de/gp/product/374485521X/ref=ppx_yo_dt_b_asin_title_o03_s01?ie=UTF8&psc=1