OPNsense Forum

International Forums => German - Deutsch => Topic started by: KAyAN on November 04, 2016, 07:03:39 pm

Title: Anfängerfrage: keine eingehender Traffic möglich.
Post by: KAyAN on November 04, 2016, 07:03:39 pm

Hallo an die Gemeinde,
ich bin Neuling beim Thema Opnsense und Firewall sowieso.
Ich habe alle notwenigen Firewalregeln für meinen SBS2011 auf dem WAN-Port eingerichtet aber die Kiste bleibt eingehend dicht.
Die voreingestllte Regel "RFC 1918 Netzwerke" und "Reserviert / nicht durch die IANA zugewiesen" hatte ich schon ohne Erfolg dektiviert.
Vor der Version OPNsense 16.7.7-amd64 ging es schon am und die Ports (25, 80, 443, 987) waren offen.
Hat jemand eine Idee?
Vielen Dank für eure Mühe.

Title: Re: Anfängerfrage: keine eingehender Traffic möglich.
Post by: BeNe on November 05, 2016, 08:19:15 pm

Hallo KAyAN,

ich gehe mal von aus das Du die Ports von WAN nach LAN auf den SBS weiterleiten willst.
Hängt das WAN direkt mit einer öffentlichen externen IP am Internet oder über ein kleines internes "Transfernetz" mit nicht öffentlichen IPs ? Nur dann musst Du die RDC1918 deaktivieren.

Hast Du zu den Firewallregeln auch das NAT auf den SBS aktiv ?

Title: Re: Anfängerfrage: keine eingehender Traffic möglich.
Post by: fabian on November 05, 2016, 08:33:33 pm

Bei Problemen mit Firewallregeln hilft es oft in die /tmp/rules.debug zu schauen.

Title: Re: Anfängerfrage: keine eingehender Traffic möglich.
Post by: KAyAN on November 15, 2016, 06:55:23 pm

Sorry das ich mich erst jetzt melde. Vielen Dank für eure Hinweise und Tipps.

Der Fehler lag bei mir. Ich hatte versäumt auf dem WAN-Port
    Protocol: any
    Source: WAN
    Destination: any
die vorstehenden Einstellunge frei zu geben.
Danach lief alles wie es sollte. 

Um die Portfreigaben zu Testen habe ich den Netzwerkcheck von Heise (https://www.heise.de/security/dienste/Netzwerkcheck-2114.html) bemüht. Bis auf die openVPN-Ports meldet er alles als frei. Warum der openVPN-Port 1194 nicht als Frei angezeigt wird ist mir schleierhaft? Wer da ein Iddee hat, immer her damit!
Aber ich habe den Port 1194 von Extern getestet und er ist Frei.

Für die alle Anfänger wie ich einer bin: Ich habe die benötigen Ports des MS SBS 2011 (25/80/443/987) NICHT unter FIREWALL/REGELN/WAN frei gegeben, sondern unter FIREWALL/REGELN/NAT/PORTWEITERLEITUNG!

Ein herzliches Danke an die Tippgeber.

Title: Re: Anfängerfrage: keine eingehender Traffic möglich.
Post by: fabian on November 15, 2016, 07:19:09 pm

naja, 1194 wird vermutlich OpenVPN mit UDP sein - das lassen die meisten Scanner aus weil man bei UDP nicht sicher sein kann ob was läuft oder nicht (es gibt keinen Unterschied zwischen Firewall Drop und keine Antwort vom Dienst weil der die Anfrage verworfen hat).

Title: Re: Anfängerfrage: keine eingehender Traffic möglich.
Post by: KAyAN on November 16, 2016, 01:29:44 pm

Du hattest Recht, wenn ich den Port explizit angebe dann wird nachfolgendes gemeldet:

Port    Name    Status    Erläuterung
1194       gefiltert    Kein Standard-Port.

Danke für den Tipp! :-)