OPNsense Forum

International Forums => German - Deutsch => Topic started by: x.zepto on March 01, 2017, 04:23:46 pm

Title: [GELÖST] Wo liegt der Fehler :-/
Post by: x.zepto on March 01, 2017, 04:23:46 pm

—internet Router—  192.168.1.1
I Geht in den LAN Port
I
I———opnsense———— Webinterface 192.168.1.2
    I           I            I
    I           I            I
LAN       WAN     DMZ———Webserver
   I.           I
   I ———I. Eine Bridge erstellt damit NTP und Updates der Opnsense über den LAN PORT bezogen werden können.

Meine erste frage wäre damit ob dies Richtig ist ?

Dann wollte ich in der DMZ den SSH Port öffnen damit ich zugang zum Webserver bekomme jetzt kommt das Problem das ich es entweder mir zu kompliziert  mache oder einfach nur ein Denkfehler habe muss ich bei allen
(LAN WAN DMT OPT) eine Rule anlegen (SSH) damit ich auf dem Webserver in der DMZ SSH zugriff bekomme ?

Wäre nett wenn mir da jemand Helfen könnte

Gruß Michel

Title: Re: Wo liegt der Fehler :-/
Post by: Oxygen61 on March 01, 2017, 05:25:14 pm

Huhu,

wenn du aus deiner Bridge heraus auf den Webserver willst, dann muss die Regel bei der Bridge erstellt werden.
Auf dem DMZ Interface blockst du ALLES zur Bridge. (Von dort darf kein Traffic in dein Netz gehen)
Das was du als "WAN" betitelst sollte sicher "WLAN" sein oder?
Wenn ja, dann wie gesagt auf dem Bridge Interface ausgehenden SSH Traffic auf den Webserver erlauben und es sollte funktionieren. :)

Schöne Grüße
Oxy

Title: Re: Wo liegt der Fehler :-/
Post by: monstermania on March 02, 2017, 08:22:42 am

Hallo Michael,
ja Deine Skizze verwirrt mich auch total! Lt. Deiner Skizze hättest Du eine Bridge zwischen LAN/WAN-Interface eingerichtet!?  :o
Du hast ja sowiet ich weiß ein ALIX-Board. Das hat 3 LAN-Interfaces.
Ich mach jetzt mal eine Skizze, wie typischerweise die Konfiguration der OPNsense in einem Netz mit einem vorgschalteten Router ist.

                       --Router-- 192.168.1.1
                              |
                              |
                              |
                              | WAN 192.168.1.2
          ------ OPNsense -------
         |                                    |
         |                                    |
      LAN                                DMZ
                   
 
Am LAN der OPNsense hängen üblicherweise deine Geräte (z.B. PC, Laptop, usw.). Wichtig ist, dass das LAN der OPNsense einen IP-Bereich hat, der sich vom IP-Bereich Deines Routers unterscheidet (z.B. 192.168.10.x).  Wen das LAN Interface z.B. 192.168.10.1 hat, erreichst Du die OPNsense Konfiguration über diese IP-Adresse!

Das gleiche gilt für das DMZ. Auch hier wird ein eigener IP-Bereich benötigt, der anders sein sollte als der Bereich WAN/LAN der OPNSense (z.B. 192.168.20.x).
Deinen Server hängst Du nun in das DMZ-Netzwerk und vergibst entsprechende IP-Adressen.

Wenn das Netz soweit steht, musst Du anfangen Dein Regelset zu definieren. Dabei musst Du bedenken, dass standardmäßig erstmal jeder Traffic zwischen den Netzwerken LAN/DMZ verboten ist. Auch Traffic vom WAN in das LAN/DMZ ist erstmal verboten.
Bei Deinem Konstrukt mit vorgeschaltetem Router kommt jetzt noch dazu, dass Du die gewünschten Dienste zunächst mal auf Deinem Router an das WAN-Interface der OPNsense bekommen musst.

Willst Du z.B. den Port 80 (HTTP) für Traffic aus dem Internet in die DMZ freischalten, damit auf einen Webserver in der DMZ zugegriffen werden kann, musst Du
1. Port 80 im Router auf die IP 192.168.1.2 weiterleiten
2. In der OPNsense eine NAT Regel für die Portweiterleitung des PORT 80 vom WAN-Interface in die DMZ auf die IP deines Servers.

Eine Bridge wird für all sowas gar nicht benötigt! Schon gar nicht, damit ntp oder so etwas läuft.
Die OPNsense kann prima als ntp-server dienen.
Ich kann nur empfehlen soviel wie möglich zu lesen! Und wenn man etwas nicht versteht gezielt nachzufragen um die Unklarheiten zu beseitigen.
Hier wurde schonmal eine Menge Basiswissen durchgekaut  ;)
https://forum.opnsense.org/index.php?topic=4230.0

Gruß
Dirk

Title: Re: Wo liegt der Fehler :-/
Post by: x.zepto on March 02, 2017, 10:22:53 am

Guten Morgen :-)

Vielen Dank für die Antworten

Ich erkläre mal kurz meine Lage :-D Ich Stelle die Opnsene über ein Laptop ein,der bezieht die Ip vom Router !92.168.1.1 per WLAN . -- die Opnsene ist am Lan Port mit dem Hauptrouter Verbunden damit ich auf das Webinterface 192.168.1.2 der Opnsenese zugriff habe, da aber der Lan Port bei der Opnsense keine Updates etc bezieht weil das ja nur die Lokale Verbindung ist hatte ich eine Bridge eingerichtet gehabt (WAN LAN) damit ich nur ein Kabel am anderen Router 192.168.1.1 anschließen muss. wenn ich das über WAN mache hab ich kein zugriff auf das Webinterface der Opnsense.? oder kann man dies ändern ? damit ich zugriff vom WAN PORT auf das Webinterface der Opnsense bekomme ?


Gruß Michel

Title: Re: Wo liegt der Fehler :-/
Post by: monstermania on March 02, 2017, 11:18:11 am

Hmm,
das einfachste wäre wohl, wenn Du einfach eine Firewallregel vom WAN der OPNSense auf 'This Firewall' für den Port 443 freischaltest.
Dann kannst Du Deine OPNsense direkt über die WAN-IP administrieren.
Aber Vorsicht: So etwas ist natürlich ein pot. Sicherheitsrisiko!

Gruß
Dirk

Title: Re: Wo liegt der Fehler :-/
Post by: x.zepto on March 02, 2017, 01:36:34 pm

Okay Ich werde das natürlich ändern sobald alles eingerichtet ist. Möchte ja nicht das jemand aus dem Internet dann zugriff bekommt. :-)

Vielen Dank
Dirk

Title: Re: Wo liegt der Fehler :-/
Post by: x.zepto on March 03, 2017, 12:11:50 pm

Vielen Dank Dirk  8) jetzt hat alles geklappt