OPNsense Forum
International Forums => German - Deutsch => Topic started by: almo on January 08, 2018, 02:03:37 pm
-
Hallo Zusammen,
wie der Titel schon sagt möchte ich das Firewallsystem wechseln, und hab ein paar Fragen die vielleicht überholt sind aber auf dem ersten Blick verstehe ich es nicht.
1: Zugriff LAN zum Internet
Nach der Setup ist es ja so das der Zugriff zum Internet aus dem LAN sofort funktioniert, alle Ports alle Dienste. Ich möchte das umstellen. Der Zugriff soll möglich sein, aber nur für die Protokolle (SSH, HTTP/S, FTP usw.) sprich alles was von mir nicht mit Erlaubt eingetragen wurde ist geht nicht nach extern. Wie sieht da so eine Regeltabelle aus (Screenshot erwünscht)
2: DMZ
Ich habe es geschafft, das ich eine DMZ angelegt habe. Auch hier möchte ich es so einrichten das Server in der DMZ bestimmte Sachen im Internet erreichen können (http/s, ftp).
Ich tu mich gerade einfach etwas schwer das Regelwerk der Firewall zu verstehen. Ich freue mich über Tipps und Anregungen.
Danke
-
Zu 1)
Du gehst auf Firewall - Aliases - View, dann machst du einen neuen Alias, Typ Ports. Dann addest du da die Ports die frei sein sollen. Dann gehst du auf die Firewall view im LAN, öffnest die Standardregel wo LAN auf Any allow ist, stellst bei Protocol von Any auf TCP/UDP und bei Destination Port auf deinen Alias.
Das kann man dann granularer mit je TCP/UDP/ICMP wenn man sich besser damit zurecht gefunden hat.
-
zu 2) im Tab DMZ neue Regel, Quelle dein Host (freie IP Eingabe) oder einfach DMZ_NET und Ziel Any. Dann Protokoll TCP und Destination Port HTTP. Dann kannst du die Rule clonen und HTTPS und FTP draus machen. Bitte noch noch DNS (UDP) nicht vergessen.
-
Ich Betreiber in der DMZ aktuelle einen Windows Server mit AD. Dieser ist für die Windows Clients und Linux-Server erster DNS. Als zweiter DNS ist aktuelle die Firewall eingetragen. Alles was der Windows DNS nicht kennt gibt er an die Firewall weiter. Benötige ich dann auch noch den DNS Allow Eintrag DMZ-Bereich in der Firewall ? Oder würde das auch so funktionieren?
-
Das musst du dann noch freischalten, Quelle DMZ_NET, Ziel DMZ_address, protocol UDP, Port DNS/53
-
Das musst du dann noch freischalten, Quelle DMZ_NET, Ziel DMZ_address, protocol UDP, Port DNS/53
Sprich in meinem Fall:
Firewall IP LAN: 192.168.1.254
DMZ Interface IP: 192:168.68.254
WAN IP: 129.x.y.z
Erster DNS der auch per DHCP verteilt wird: 192.168.68.250
Zweiter DNS der auch per DHCP verteilt wird: 192.168.1.254 / In der DMZ 192.168.68.254 (Feste IP Konfig)
##
DMZ_NET, Ziel 192.168.68.254, UDP Port DNS/53
##
Ergebnis ?
-
Moment .. du verteilst auch im LAN als DNS die DMZ IP von der Firewall? Das würde ich anpassen. Du kannst ja je Subnet die DNS Server fix einstellen
-
Moment .. du verteilst auch im LAN als DNS die DMZ IP von der Firewall? Das würde ich anpassen. Du kannst ja je Subnet die DNS Server fix einstellen
Der Erste DNS-Server für das Netz ist der Windows Server der in der DMZ steht der die IP: 192.168.68.250 hat. Dieser wird auch so per DHCP im LAN-Netz an die Clients verteilt damit die Windows Clients den Weg zur Windows Domäne finden. Das wird ja über DNS-Einträge realisiert.
Diesen DNS-Server erhalten auch alle Geräte in der DMZ so nur als fixe Config.
Der zweite DNS-Server sieht wie folgt aus:
LAN-Netz: 192.168.1.254 (Firewall)
DMZ-Netz: 192.168.68.254 (Firewall)
Ich hoffe du konntest mir nun folgen ...
-
Sieht doch gut aus :)
Wenn's noch nicht geht bitte Screenshot
-
Ich hab die letzten Wochen viel an mener opnsense Firewall gearbeitet. Und bin echt weit gekommen aber ein Problem hab ich aktuell.
Bestimmte Websiten löst er mir mit IPv6 DNS auf und ich bekomme einfach keine Zugriff. Die Webseiten hätten aber auch einen IPv4 Eintrag.
Meine DNS Regel sieht so aus:
IPv4+6 UDP LAN Netzwerk * Diese Firewall 53 (DNS) *
Meine Firewall darf gerne intern IPv6 sprechen im LAN-Netzwerk. Aber mein WAN hat aktuell nur eine IPv4 Fest-Adresse im 129.-Bereich. Die IPv6-Adressen muss ich erst noch beim RZ bestellen.
Wo liegt mein Fehler?
Update:
Über die Firewall mit Diagnose DNS-Abfrage bekomme ich eine IPv4 Eintrag zurück. An meinem Client per nslookup eine IPv6 Eintrag.
Oder spielt mir hier Windoof einen Streich ?
-
Du kannst in Firewall Settings irgendwo einstellen dass IPv4 bevorzugt wird.
-
Die Option hab ich gesehen, aber ich Frage mich wie er auf IPv6 Kommunizieren will wenn kein IPv6 am WAN anliegt
Oder anderes gesagt wie Konfiguriere ich folgendes:
LAN DHCP IPv4 und IPv6 -> Clients können auf beiden wegen Sprechen.
Die Firwall macht aber 6to4 also Client Anfragen auf IPv6 Richtung WAN werden mit IPv4 abgewickelt, genauso Anfragen von IPv6 richtung DMZ dann mit IPv4 abgewickelt werden?
-
> Die Firwall macht aber 6to4 also Client Anfragen auf IPv6 Richtung WAN werden mit IPv4 abgewickelt, genauso Anfragen von IPv6 richtung DMZ dann mit IPv4 abgewickelt werden?
Man möge mir eines besseren belehren, aber meines Wissens geht das NICHT wenn du auf dem WAN kein v6 hast (oder nen Tunnel), weil es (noch?) kein NAT64 in der Sense gibt. FreeBSD hat das aber m.W. inzwischen sogar implementiert, allerdings gibts dann noch DNS64 zu beachten.
-
Deswegen wundert mich das:
WAN IPv4 und IPv4 DNS Server.
DNS-Abfrage an der Firewall liefert einen DNS Eintrag zurück mit einer IPv4 Adresse.
Windows Client im LAN Netzwerk macht den selbe Abfrage und zeigt einen IPv6 Record an.
Wenn ich z.b Google abfrage am Windows Client bekomme ich die DNS Einträge IPv4 und IPv6 zurück.
Entweder legt mir der Windows Client das Ei, oder ich hab an der Firewall was falsch gemacht?
-
OK den Block verstehe ich nicht.
Wo machst du die Abfrage bei der du nur v4 Adressen bekommst?
Normalerweise kommen beide, je nach Konfiguration kann dann v4 oder v6 präferiert werden. Auch bei Windows selbst gibts die Einstellung, dass je nachdem v6 oder v4 präferiert wird (generell nicht nur auf DNS bezogen). Daher: Wo genau klemmts? :)
-
Ich denke wir arbeiten uns jetzt erst mal von ganz unten hoch:
Meine erste Frage:
Wie soll die Konfiguration der LAN-Schnittstelle + Dienste aussehen das IPv4 und IPv6 funktionieren. Und die Clients im LAN Netz alles von der Firewall bekommen (DHCP) das Sie intern und extern Arbeiten können auf beiden Protokollen?
Siehe Zeichnung:
-
OK erste Antwort ;)
LAN sollte haben:
- v4 Adresse, Subnetz konfiguriert
- v6 Adresse, Subnetz konfiguriert - ODER funktionierendes Track Interface WAN mit ID x (0-f oder 0-ff)
- DHCP4
- DNS für v4 und v6
- DHCP6 muss nicht, aber im Bereich Routing Advertisment sollte es dann zumindest auf unmanaged stehen und DNS und NTP rausgeben, damit RAs verteilt werden und DNS ankommt.
Somit sollte dann ein Client:
- v4 Adresse
- v4 Gateway (LAN der Firewall)
- v4 DNS (Firewall)
- v6 Adresse via SLAAC oder DHCP6
- v6 DNS via DHCP6
- v6 Gateway via link-local (oder echtes Gateway)
erhalten haben.
Sieht dann bspw. in Windoof so aus:
Ethernet-Adapter Ethernet:
Verbindungsspezifisches DNS-Suffix: lan.domain.de
Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (4) I219-V
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2a04:xxxx:xxxx:xxxx:e505:dc55:2bc7:3298(Bevorzugt)
Temporäre IPv6-Adresse. . . . . . : 2a04:xxxx:xxxx:xxxx:493d:46c6:11d5:e40(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::e505:dc55:2bc7:3298%21(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 10.x.y.70(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Freitag, 2. Februar 2018 08:40:27
Lease läuft ab. . . . . . . . . . : Freitag, 2. Februar 2018 12:45:22
Standardgateway . . . . . . . . . : fe80::225:90ff:fef4:a433%21
10.x.y.254
DHCP-Server . . . . . . . . . . . : 10.x.y.251
DHCPv6-IAID . . . . . . . . . . . : 55894445
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-F2-AD-E7-54-E1-AD-4C-5E-2D
DNS-Server . . . . . . . . . . . : 10.x.y.251
10.x.y.252
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Suchliste für verbindungsspezifische DNS-Suffixe:
lan.domain.de
nocheinlan.domain.de
In dem Fall ist das an einem Cluster, deshalb pushen wir bspw. bei DNS auch 251 und 252 statt die Cluster-IP 254, damit man auch sauber 2 DNSe hat statt nur einen. 254 ist der aktive Knoten, also nicht irritieren lassen :)
Das ist ein typischer Client wie Laptop, der per DHCP und SLAAC ins Netz geht.