OPNsense Forum

International Forums => German - Deutsch => Topic started by: emmitt on June 26, 2020, 11:00:17 am

Title: GeoIP
Post by: emmitt on June 26, 2020, 11:00:17 am
Hallo,

ich würde gerne meine opnsense weiter absichern.

Ich habe - inspiriert von dieser Anleitung https://schulnetzkonzept.de/opnsense - einen Webproxy (shallalist) aufgesetzt und schicke dort die Devices (feste IP's bzw. statische DHCP Leases) meiner Kinder drüber. Klappt als Grundschutz recht gut. Oder gibt es dazu bessere Alternativen?

Als nächstes würde ich gerne generell das Geo-Blocking umsetzen. Ist es hier sinnvoll nur Deutschland zuzulassen?
Und wie geht das?

1. Ein Alias nur mit "Deutschland" einrichten. Das ist leicht. ;-)
2. Unter den Settings muss ich dann zwingend einen Anbieter wie Maxmind hinterlegn?
3. Wie muss die Firewall Regel aussehen

Vielen Dank für Eure Hilfe!
Title: Re: GeoIP
Post by: emmitt on June 28, 2020, 08:55:39 pm
Bin für jede Hilfestellung dankbar!
Title: Re: GeoIP
Post by: lenny on June 29, 2020, 07:23:59 am
Verstehe ich dich richtig, dass du als Ziel "Deutschland" nutzen willst?
Wenn du nur deutsche Ziel IP Adressen zu lässt, kannst du deinen DSL Anschluss fast schon kündigen, viel Freude wirst du da nicht mehr haben.
Title: Re: GeoIP
Post by: JeGr on June 29, 2020, 03:32:53 pm
Da muss ich @lenny zustimmen, das wird wohl eher nix. Das Internet funktioniert nicht so wirklich mit Ländergrenzen, auch wenn das bei einigen Politikern und Co noch nicht wirklich angekommen ist ;)
Title: Re: GeoIP
Post by: emmitt on June 30, 2020, 09:58:44 am
Ups, da habe ich mich wohl etwas unklar ausgedrückt! Sorry!
Das es im Internet keine klaren Ländergrenzen gibt, ist mir natürlich bewusst.  :)

In erster Linie wollte ich verstehen, WIE ich das Geo-Blocking korrekt einrichte und ob ich zwingend Maxmind benötige...

Allerdings wäre ich natürlich auch für SINNVOLLE Einstellungen dankbar!
Title: Re: GeoIP
Post by: JeGr on June 30, 2020, 12:24:28 pm
> In erster Linie wollte ich verstehen, WIE ich das Geo-Blocking korrekt einrichte und ob ich zwingend Maxmind benötige...

Das war ja damit gemeint :) GeoBlocking bringt dir an der Stelle für die Kids nichts, wenn du Ihnen nicht - mal salopp gesagt - drei Viertel des Internets abklemmen willst. Dadurch, dass sehr viele Anbieter zum Verteilen des Traffics auf CDNs und Content Netzwerke setzen, die aus unterschiedlichen Ecken des Internets kommen können und sich je nach Tagesform und Auslastung ständig ändern können, kannst du einfach nicht sinnvoll für abgehenden Traffic einen GeoBlock auf "DE only" bspw. setzen. Das haut nicht hin, da wirds ganz häufig mit Youtube, Netflix, Prime Video etc. rumpeln, weil alle auf CDNs setzen, deren Endpunkte dynamisch wechseln und die dann eben auch mal in UK, FR, oder sonstwo stehen.

Genau daher setzt man in erster Konsequenz bei dem Schulkonzept ja auf entweder IDS/IPS oder/und auf Proxies, die dann an Hand der URLs oder bekannten IP Listen den Zugriff unterbinden, anstatt sich auf unscharfe Dinge wie GeoIPs zu stützen, die sich noch dazu gerne ändern können :)

Title: Re: GeoIP
Post by: emmitt on July 01, 2020, 09:29:15 am
Ok verstanden JeGr!  :)

Aber: wofür kann ich es denn sinnvoll nutzen und wie richte es für diesen sinnvollen Zweck dann ein?
Title: Re: GeoIP
Post by: micneu on July 01, 2020, 10:53:14 am
ich persönlich finde da für mich keinen Anwendungsbereich.
Du musst doch wissen wofür du es brauchst.

Wenn du für dich keinen Grund siehst diese Funktion zu nutzen, dann benutze sie nicht.


Gesendet von iPad mit Tapatalk Pro
Title: Re: GeoIP
Post by: Evil_Sense on July 02, 2020, 02:24:43 am
Ich verwende einen GeoIP Alias als Source für Ports die von aussen erreichbar sind (TeamSpeak, VPN usw.).
Somit sind diese zumindest "nur" aus dem entsprechenden Land erreichbar.

Gruss

Gesendet von meinem ONEPLUS A5000 mit Tapatalk

Title: Re: GeoIP
Post by: lenny on July 02, 2020, 10:03:00 am
Ich verwende einen GeoIP Alias als Source für Ports die von aussen erreichbar sind (TeamSpeak, VPN usw.).
Somit sind diese zumindest "nur" aus dem entsprechenden Land erreichbar.

Gruss

Gesendet von meinem ONEPLUS A5000 mit Tapatalk
So ist es bei mir auch.
Warum sollten Menschen aus sonstwo auf meine Cloud etc zugreifen, wenn ich mich in nur drei Ländern bewege...
Also kurz gesagt, um einen Dienst zu schützen/limitieren, den du anbietest. Aber nicht, um Ziele zu limitieren

Title: Re: GeoIP
Post by: JeGr on July 06, 2020, 01:29:01 pm
Was @Evil_Sense und @lenny schreiben. Das ist der einer der wenigen sinnvollen Use-Cases die wir ggf. auch nutzen. Dienstlimitierung eingehend für bestimmte Services. Wobei das auch mal stark nach hinten losgehen kann, wenn man bspw. den VPN Server damit absichert und man dann aber in irgendeinem Cafe oder sonstwas sitzt und die dooferweise eine IP aus einem Bereich haben, der eben blöderweise nicht wirklich zum Deutschen Geoblock gehört oder gerade erst neu vergeben wurde. Kam auch schon vor. Ärgerlich. Ansonsten klar, wenn mann selbst Dienste à la TS3 etc. anbietet. Aber ausgehend macht das aus vielerlei Hinsicht nur sehr begrenzt Sinn. Und bei Diensten wie VPN die noch dazu in sich noch eine ordentliche Absicherung durch User/Pass und ggf. Zertifikat halten, sehe ich den Sinn nur extrem begrenzt. HTTP/HTTPS von einer eigenen kleinen Cloud oder TS3 sind aber recht gute Beispiele wo das Sinn machen kann :)

Title: Re: GeoIP
Post by: emmitt on July 07, 2020, 07:12:14 pm
Ich danke Euch allen für die Tipps und Einschätzungen  8)
Dann lasse ich da "ausgehend" die Finger davon!