OPNsense Forum

International Forums => German - Deutsch => Topic started by: Wayne Train on March 15, 2017, 09:43:47 am

Title: Internet only Subnet
Post by: Wayne Train on March 15, 2017, 09:43:47 am
Hallo,
ich möchte den Zugriff für ein bestimmtes Netz so einschränken, dass dieses nur ins Netz zugreifen darf, nicht aber in andere VLANs oder Subnets. Hat jemand eine Idee wie ich das am schlanksten umsetze ?
Meine Idee wäre sonst, einen Alias anzulegen, der alle VLANs und Subnets enthält die ich blocken möchte und diese dann in die jeweilige Policy zu laden. Das scheint mir aber ein wenig umständlich bzw. von hinten durch den Kopf ins Auge...
Grüße
CS
Title: Re: Internet only Subnet
Post by: Oxygen61 on March 21, 2017, 12:54:48 pm
Hey hey,

ich hoffe ich hab dich da richtig verstanden, also....
was mir spontan einfällt wäre das Sperren des "RFC1918", also das sperren aller privaten IP Adressen (ergo deine privaten Subnetze).
Ergo hast du zwei Rules die folgendes Aussagen (Achtung: spezielle Regeln zuerst):

Block - Regel 1
Source: Dein Subnetz was nur ins Internet darf
Src-Port: Any
Destination: RFC1918 Alias
Dest-Port: Any
--> Erklärung: Sämtliche Verbindungen deines Subnetzes auf private IPs auf egal welchem Port werden geblockt.

Permit - Regel 2
Source: Dein Subnetz was nur ins Internet darf
Src-Port: Any
Destination: Any
Dest-Port: Port 80/443
--> Erklärung: Falls die Dest.-IP keine private IP ist und schon von Regel 1 weggefangen wird, darf die Verbindung ins Internet aufgebaut werden.

Wie der RFC1918 Alias aussehen muss siehst du am Bild im Anhang. :)
Hoffe das hilft, ansonsten pew pew ;-)

Schöne Grüße
Oxy

Title: Re: Internet only Subnet
Post by: fabian on March 21, 2017, 02:10:13 pm
es geht auch noch einfacher: einfach beim Ziel "invers" anhaken und dann den Alias RFC1918 angeben.
Title: Re: Internet only Subnet
Post by: monstermania on March 23, 2017, 08:54:25 am
Moin,
dazu habe ich auch mal eine Frage, die in die gleiche Richtung zielt.
Grundsätzlich ist mir die Vorgehensweise klar und ich habe das auch per Block-Regel mit RFC1918-Alias gelöst.
Nur habe ich zuhause mein LAN und WLAN 'gebridget'. Die Default 'Anti-Lockout' Rules der OPNsense sind ja nicht auf der Bridge vorhanden. Zum Glück habe vor der Einrichtung der RFC1918 Block-Regel so weit mitgedacht, dass ich die entsprechenden 'Anti-Lockout'-Regeln manuell auf der Bridge hinzugefügt habe. :)
So weit also Alles klar!

Ich habe auch noch Regeln für die Bridge eingerichtet, so dass DNS und NTP ausschließlich Netzintern laufen. Insgesamt also 5 Regeln allein, damit bestimmter Traffic Netzintern laufen kann (SSH, HTTP, HTTPS, DNS, NTP).
Da stellt sich mir die Frage, ob es nicht einfacher wäre einfach jeglichen Traffic Netzintern zu erlauben! Wie handhabt Ihr das in der Praxis bzw. gibt es eine Empfehlung dafür?

Gruß
Dirk

PS: Ich hoffe, ich habe mich Verständlich ausgedrückt ;)
Title: Re: Internet only Subnet
Post by: Oxygen61 on March 23, 2017, 09:22:02 am
Kannst du machen, wenn die "erlaube internen Traffic nach internen Traffic" vor der "umgekehrten RFC1918" Regel steht. --> grade nochmal drüber geschaut wär sogar egal wo die steht, weil nur 2 Regeln dann da stehen. ::)

Die Fragen die dadurch aber entstehen sind folgende:
1.) Soll wirklich jedes Gerät mit jedem reden? Also Die NAS darf auf den Toaster zugreifen? eh? :P
2.) VLANs sind dann obsolet, weil sie auf der OPNsense durch die Regeln auf Layer 3 wieder aufgelöst werden.
3.) Wie unterscheidest du gewollten Traffic von gespooften Paketen?
4.) Wo ist der Unterschied zu einer Fritzbox? ::)

Würd ich nur ungern machen. Für Zuhause bestimmt machbar wenn man wirklich keine Lust hat sich um ein Regelset zu kümmern und alles funktionieren soll. Wenn man so will ist eine Bridge ja auch schon ein Eingeständnis. :) 
Title: Re: Internet only Subnet
Post by: fabian on March 23, 2017, 09:43:32 am
Ich habe WLAN und LAN getrennt und WLAN ist bei mir sehr restriktiv. Im LAN sind bei mir viele Ports offen, da ich diese brauche und man kann vom LAN aus in alle anderen Netze (WLAN, DMZ). Vom WLAN aus sind nur HTTP(S) und DNS erlaubt. Man darf auch nicht vom WLAN aus nicht ins LAN kommen, aber in die DMZ. DNS ist generell nur an die FW erlaubt.
Title: Re: Internet only Subnet
Post by: Oxygen61 on March 23, 2017, 09:58:22 am
Quote
Ich habe WLAN und LAN getrennt und WLAN ist bei mir sehr restriktiv. Im LAN sind bei mir viele Ports offen, da ich diese brauche und man kann vom LAN aus in alle anderen Netze (WLAN, DMZ). Vom WLAN aus sind nur HTTP(S) und DNS erlaubt.
Im Grunde seh ich das ähnlich, nur wirds zu zank übers WLAN kommen, wenn viele Apps dann nicht funktionieren (Whatsapp Port 5223/5228 o.ä.), ist von dir aber so gewollt anscheinend. :P

Quote
Man darf auch nicht vom WLAN aus nicht ins LAN kommen, aber in die DMZ
Warum sollte man vom WLAN in die DMZ? Vom LAN ist logisch für die NAS, für TV Streaming und backups und co + SSH aber was will ein Handy in der DMZ? Oder nutzt du auch Laptops? :)
Title: Re: Internet only Subnet
Post by: monstermania on March 23, 2017, 10:23:26 am
4.) Wo ist der Unterschied zu einer Fritzbox? ::)

Würd ich nur ungern machen. Für Zuhause bestimmt machbar wenn man wirklich keine Lust hat sich um ein Regelset zu kümmern und alles funktionieren soll. Wenn man so will ist eine Bridge ja auch schon ein Eingeständnis. :)
Bitte seid nicht so streng mit mir  ;)
1.) Ja, die OPNsense ersetzt bei mir zu Hause einen 08/15-WLAN-Router
2.) Alle meine Devices zu Hause sind per WLAN angebunden. Das (gebrückte) LAN habe ich eigentlich nur, als Notfallbackup, damit ich im Problemfall auf die OPNsense zugreifen könnte indem ich mein Laptop per LAN-anschließe
3.) Ich habe ein Gäste-WLAN für Bekannte
4.) Natürlich möchte ich auch, dass z.B. mein Tablet auch auf mein Smart-TV zugreifen kann. Ist ja schließlich ungemein praktisch sich z.B. eine Sendung in der Mediathek per Tablet zu suchen anschließend per Fingertip auf dem Smart-TV anzusehen.

Und natürlich habe ich ein Regelset für mein internes LAN/WLAN aufgebaut (Aliase per festen DHCP-Leases).
Über diese Aliase wird individuell geregelt welcher meiner Geräte bzw. Gerätegruppen z.B. WhatsApp, OpenVPN, IPSec, Internet, usw. dürfen. Bei insgesamt 6 Geräten ist das ja überschaubar.

Es geht bei meiner Frage ja eher um die interne Kommunikation im LAN. Wie handhabt Ihr das bei Euch? Erlaubt Ihr bei Eurem LAN jegliche Kommunikation oder beschränkt Ihr Euch Netzintern auch auf wenige Dienste!?

Gruß
Dirk
Title: Re: Internet only Subnet
Post by: fabian on March 23, 2017, 10:37:53 am
Es geht bei meiner Frage ja eher um die interne Kommunikation im LAN. Wie handhabt Ihr das bei Euch? Erlaubt Ihr bei Eurem LAN jegliche Kommunikation oder beschränkt Ihr Euch Netzintern auch auf wenige Dienste!?

Ja aber eher auf viele Dienste (dürften an die 30 Regeln sein). Bei mir kommen da halt ein paar Dienste mehr zusammen als in einem "normalen" Netz.
Title: Re: Internet only Subnet
Post by: Oxygen61 on March 23, 2017, 10:53:00 am
Quote
Bitte seid nicht so streng mit mir  ;)
Hehe war nich böse gemeint.  ;D

Das mit den vielen Einzelregeln im LAN, tja... das is das Schicksal des Admins.
Einfach ist da sehr wahrscheinlich auch einfach nicht sicher. (Obwohl man da wieder diskutieren könnte im internen Netz fürs interne Netz) ABER ist wohl eine philosophische Frage.