OPNsense Forum

International Forums => German - Deutsch => Topic started by: Kruemel on February 27, 2019, 04:06:29 pm

Title: OPNSense hinter Hybrid Router
Post by: Kruemel on February 27, 2019, 04:06:29 pm

Moin,

ich steh gerade etwas auf dem Schlauch:
Hier läuft eine OPNSense unter VMWare, die aber komplett im privaten Netz hängt:

WAN: 192.168.0.0/24
LAN: WAN: 192.168.1.0/24

Und noch diverse WLAN Netze...
Im WAN Netz hängt dann der Speedport Hybrid. Das WANGW (Default) zeigt auf den Hybrid Router. An allen Clients ist die OPNSense (192.168.1.1) als Gateway eingetragen. Outbound NAT steht "Automatic".

Nun hätte ich erwartet, dass ich in den Firewallregeln festlegen kann, dass bestimmte Hosts nicht ins Internet dürfen. Dafür habe ich im WAN eine Testregel gebaut:

Deny ALL TCPv4/ICMP DST any SRC any

Somit dürfte kein Client in der Lage sein, ins Internet zu pingen. So dachte ich zumindest. Aber es funktioniert trotzdem. Im Log sehe ich:

destination:172.217.22.35 message:<134>Feb 27 15:54:25 filterlog: 78,,,0,vmx0,match,pass,out,4,0x0,,63,16734,0,none,1,icmp,84,192.168.0.1,172.217.22.35,datalength=64 aid:16,734 syslog_program:filterlog input_interface:vmx0 myoffset:0 flags:none host:192.168.1.1 source:192.168.0.1 ip_version:4 syslog_timestamp:Feb 27 15:54:25 syslog_pri:134 tos:0 action:pass

Wo liegt mein Fehler?

Gruß
Krümel

Title: Re: OPNSense hinter Hybrid Router
Post by: Sven-J on February 27, 2019, 04:09:43 pm

Musst auch das LAN interface nehmen und standard mäßig is ja deny all aktiv.

Gesendet von meinem SM-N950F mit Tapatalk

Title: Re: OPNSense hinter Hybrid Router
Post by: JeGr on February 27, 2019, 04:09:55 pm

> LAN: WAN: 192.168.1.0/24

Nanu? LAN oder WAN?

> Nun hätte ich erwartet, dass ich in den Firewallregeln festlegen kann, dass bestimmte Hosts nicht ins Internet dürfen.

Da erwartest du korrekt :)

> Dafür habe ich im WAN eine Testregel gebaut:

Und da bist du schon falsch abgebogen. Ein Blick in die Dokumentation klärt das schnell. Regeln werden IMMER dort (Interface) erstellt, wo das Paket zum ersten Mal auf die Firewall/Sense trifft. Du willst also am LAN filtern, denn da kommt der Traffic von den Kisten an. Auf dem WAN geht er nur raus. Das ist egal.

Auf dem LAN ist aber default eine any-any Regel aktiv damit erstmal alles funktioniert. Also entweder darüber einzelne Hosts oder Ranges oder Netze blocken oder die any-any Regel rauswerfen und nur erlauben was du erlauben möchtest.

Grüße

Title: Re: OPNSense hinter Hybrid Router
Post by: Kruemel on February 27, 2019, 08:47:49 pm

Oh man, da stand ich aber mächtig aufm Schlauch. Danke für den Schubser.
Ich hatte das in den LAN Rules auch schon probiert, mein Fehler war aber, dass die Block Rule ganz an Emde stand. Stelle ich sie nach vorne, funktioniert es auch.

Danke und Gruß
Krümel

Title: Re: OPNSense hinter Hybrid Router
Post by: JeGr on February 28, 2019, 11:30:33 am

Manchmal ist's einfach, aber dafür gibts 4-Augen oder 2 Köpfe ;)