OPNsense Forum

International Forums => German - Deutsch => Topic started by: petter on September 03, 2019, 03:28:29 pm

Title: Wireguard härten
Post by: petter on September 03, 2019, 03:28:29 pm

Ahoi,

ich habe auf meiner Sense Wireguard konfiguriert, damit ich von aussen auf meinen Server zugreifen kann (SSH und HTTPS).
Auf meinem Router habe ich dazu einen Port geöffnet:
Eingangsport: 51820
Zielport: 51820
Ziel-IP: Server-IP

• Ich würde gerne sehen/erfahren sobald jemand erfolgreich eine Verbindung aufgebaut hat. Ist dies möglich?
• Gibt es die Möglichkeit gewissen Ländern (IP Ranges) den Zugang zu diesem Port zu blocken?

Zusatzfrage: Wieso kommt die Verbindung nicht über Port 51820 rein? Zu Beginn hatte ich den Sourceport in der FW-Regel ebenfalls auf 51820 gesetzt. Dies hat nicht funktioniert, da die eingehende Verbindung immer wieder über einen unterschiedlichen Port kommt. Kann mir einer dies erklären?

Danke.

Title: Re: Wireguard härten
Post by: mimugmail on September 03, 2019, 03:57:00 pm

Quellport ist i.d.R. immer random zwischen 1024 und 65535. Nur bei sehr wenigen Diensten ist der Quellport identisch wie der Zielport, z.B. IPSEC oder NTP. Bei Wireguard müsste Quellport ebenfalls immer unterschiedlich sein.

Du kannst GEO Aliase erstellen, darauf basierend dann deine Firewallregeln.

Bzgl. alerting gibt es nichts was von OPN selbst kommt. Denkbar wäre ein remote syslog der dann einen Alert triggert wenn so ein match im Log auftaucht, ist aber viel Bastelarbeit.

Title: Re: Wireguard härten
Post by: petter on September 03, 2019, 04:23:36 pm

Super, danke für die schnelle Antwort.

Wären folgende Regeln demnach sinnvoll?
pass incoming: WAN/UDP/IPv4/GeoIP (=Deutschland)/alle Ports --> WAN/51820
block incoming: WAN/UDP/IPv4/alle Ports --> WAN/51820

Welche weiteren Möglichkeiten habe ich sonst noch um den Wireguardzugang abzusichern?

Quote

Quellport ist i.d.R. immer random zwischen 1024 und 65535. Nur bei sehr wenigen Diensten ist der Quellport identisch wie der Zielport, z.B. IPSEC oder NTP. Bei Wireguard müsste Quellport ebenfalls immer unterschiedlich sein.

Komisch, dass das Portforwarding funktioniert da ich als Eingangsport 51820 definiert habe. Oder kommt die Anfrage tatsächlich über 51820 rein und mein Router leitet die Anfrage über einen anderen Port an die FW weiter?

Title: Re: Wireguard härten
Post by: mimugmail on September 03, 2019, 04:34:05 pm

Was meinst du mit Eingangsport? Screenshot bitte.
Viel mehr absichern kann man nicht wenn du keine statischen IPs hast

Title: Re: Wireguard härten
Post by: petter on September 03, 2019, 04:44:04 pm

Quote

Was meinst du mit Eingangsport? Screenshot bitte.

Also ich meine bei meinem Router, welcher die Verbindung zur Sense weiterleitet (Port Forwarding).

Quote

Auf meinem Router habe ich dazu einen Port geöffnet:
Eingangsport: 51820
Zielport: 51820
Ziel-IP: Server-IP

Title: Re: Wireguard härten
Post by: mimugmail on September 03, 2019, 04:53:43 pm

Das ist der Zielport von deinem Router, also nicht der Quellport vom Client