OPNsense Forum

International Forums => German - Deutsch => Topic started by: keebie on March 05, 2021, 10:39:24 am

Title: Anfänger - Nur Internet
Post by: keebie on March 05, 2021, 10:39:24 am
Hallo liebe Gemeinde und bereits ein Entschuldigung für die Frage,

ich versuche mich seit einigen Stunden über die grundlegenden Regeln bei opnsense zu informieren, komme aber ohne DAU-Bilderanleitung nicht so richtig weiter  :-\

Ich möchte meinen LAN-Geräten nur den Zugang zum Internet erlauben und habe die Ports 53,80 & 443 als TCP/UPD für IPv4 eingerichtet.

Funktioniert auch, ich möchte nur einfach wissen ob meine Konfig wirklich  alles weitere aussperrt oder ob ich hier einen Fehler drin habe, weil mich die ganzen Einstellmöglichkeiten und Begrifflichkeiten überfordern  :-[

Deswegen im Anhang mal ein Screenshot:
Title: Re: Anfänger - Nur Internet
Post by: lfirewall1243 on March 05, 2021, 11:00:59 am
Sieht ganz gut aus.

Du gibst damit aber dem LAN Netzwerk auch Zugriff auf deine anderen angeschlossenen Netzwerke (DMZ z.B.)
Aber ist es nur das eine LAN und WAN siehts schonmal ganz gut aus :)
Title: Re: Anfänger - Nur Internet
Post by: lidynia.sven on March 05, 2021, 11:02:28 am
Hallo und Willkommen,

Grundsätzlich brauchst du für dein Vorhaben nichts zu machen.

Die sense erlaubt von innen nach außen alles und die Antworten automatisch von außen nach innen. WAN ist grundsätzlich gesperrt.

Wenn du allerdings von innen nach außen sperren möchtest ist LAN das Interface an dem du die regeln setzen musst.

Dabei aber drauf achten das essentielle Dienste wie DNS nicht geblockt werden.

Gesendet mit Tapatalk pro

Title: Re: Anfänger - Nur Internet
Post by: keebie on March 05, 2021, 11:16:03 am
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isolieren!
Title: Re: Anfänger - Nur Internet
Post by: lfirewall1243 on March 05, 2021, 11:30:59 am
Dazu musst du vor deinen ALLOW Regeln eine Block Regel setzen

Quelle: LAN Netzwerk / ANY
ZIEL: 192.168.0.1/24
Title: Re: Anfänger - Nur Internet
Post by: lidynia.sven on March 05, 2021, 11:47:29 am
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!
Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro

Title: Re: Anfänger - Nur Internet
Post by: keebie on March 05, 2021, 11:48:06 am
So hier?

Title: Re: Anfänger - Nur Internet
Post by: lfirewall1243 on March 05, 2021, 11:49:14 am
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!
Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro
Wäre nur unsicherer.
Die default Regel dient eigentlich nur für den Anfang damit erstmal alles Funktioniert.
Wie bei jeder anderen Firewall sollte man aber nur das erlaube was auch benötigt wird (beim Websurfen eben Port 80 und 443) d.h. der Rest kann ruhig zu bleiben
Title: Re: Anfänger - Nur Internet
Post by: lfirewall1243 on March 05, 2021, 11:49:41 am
So hier?

Genau!
Wenn du mehrere Netze hast kannst du auch ein Alias anlegen.
Aber so passt es auf jeden Fall!
Title: Re: Anfänger - Nur Internet
Post by: keebie on March 05, 2021, 12:44:54 pm
Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.
Title: Re: Anfänger - Nur Internet
Post by: lfirewall1243 on March 05, 2021, 01:46:00 pm
Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.
Sind die vielleicht noch im Cache oder so ?
Starte Mal den Rechner neu.

Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis
Title: Re: Anfänger - Nur Internet
Post by: keebie on March 05, 2021, 01:51:24 pm
Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?
Title: Re: Anfänger - Nur Internet
Post by: lfirewall1243 on March 05, 2021, 01:53:21 pm
Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?
Mach Mal einen Netzwerkplan und Screenshots von der Regelübersicht der ganzen Schnittstellen
Title: Re: Anfänger - Nur Internet
Post by: keebie on March 05, 2021, 02:15:30 pm
Achso, verstanden. Nee hab ich nicht, jetzt haut alles hin :)

Vielen Dank!