Messages

Hello,

I'm just working on my first OPNsense rule setting. I have experience with pfSense and I'm desperate.

My OPNsense installation refers to version 20.1.

The basic configuration has created two rules for the LAN interface. Each for IPv4 and IPv6 according to the motto "everything can go through". A separate set of rules should only allow data traffic for one computer in the LAN in my example. To block in the last instance everything that could not be regulated by previous rules I have also taken this into my setting. I know that this will be considered automatically, but I want to log the blocked traffic. The following lines should illustrate the order and simplified logic:

Allow IPv4 TCP/IP Host 192.168.230.10/24 Port 443, 53
Block IPv4 TCP/IP LAN net
Allow IPv4 TCP/IP LAN net
Allow IPv6 TCP/IP LAN net

My state of knowledge says that all rules are worked out from top to down.
If I deactivate the pre-installed last two rules, which allow everything, nothing works. However, an automatically generated block rule from the "Floating Rules" is used. I'm still too vague about the floating rules and especially the automatically generated rules behind. What exactly is behind this and how do I have influence on these automatic rules?

For a better overview my diagram:

Internet
            :
            : Cable-Provider (for the internet)
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox as router and integrated cable modem)
      '-----+-----'   LAN: 10.110.180.10
            |
            |
            |
      .-----+------.  WAN: 10.110.180.110 (Gateway: 10.110.180.10)
      |  OPNsense |
      '-----+------'  LAN: 192.168.230.10
            |
            |
            PC (192.168.230.210)

Thank you and best regards,
fm

Hallo zusammen,

ich arbeite mich gerade in das Regelwerk ein. Habe Erfahrungen mit pfSense und verzweifel gerade.

Meine OPNsense-Installation bezieht sich auf die Version 20.1.

Die Grundkonfiguration hat für das LAN-Interface zwei Regeln erstellt. Jeweils für IPv4 und IPv6 nach dem Motto "Alles kann durch". Ein eigenes Regelwerk soll den Datenverkehr im Beispiel nur für einen Rechner im LAN erlauben. Um quasi in letzter Instanz alles zu blocken, was durch vorherige Regeln nicht geregelt werden konnte habe ich ebenfalls berücksichtigt. Ich weiß, dass dies automatisch berücksichtigt wird, ich möchte allerdings den geblockten Verkehr loggen. Folgende Zeilen sollen die Reihenfolge und vereinfacht die Logik veranschaulichen:

Allow IPv4 TCP/IP     Host 192.168.230.10/24     Port 443, 53
Block IPv4 TCP/IP     LAN net
Allow IPv4 TCP/IP     LAN net
Allow IPv6 TCP/IP     LAN net

Mein Kenntnisstand sagt, dass alle Regeln von oben nach unten abgearbeitet werden.
Deaktiviere ich die vorinstallierten letzten beiden Regeln, die alles erlauben, geht nichts mehr, obwohl die oberste Regel den Verkehr erlaubt. Es greift aber eine automatisch generierte Block-Regel aus den "Floating Rules". Mir ist das noch zu schwammig, was die floating rules und insbesondere die automatisch generierten Regeln betrifft. Was steckt genau dahinter und wie habe ich Einfluss auf diese automatischen Regeln?

Zur besseren Veranschaulichung hier ein Blockbild:

Internet
            :
            : Cable-Provider (Unitymedia/Vodafone)
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox)
      '-----+-----'   LAN: 10.110.180.10
            |
            |
            |
      .-----+------.  WAN: 10.110.180.110 (Gateway: 10.110.180.10)
      |  OPNsense |
      '-----+------'  LAN: 192.168.230.10
            |
            |
            PC (192.168.230.210)

Vielen Dank im Voraus

Hallo,

ich bekomme keine Verbindung von einem VoIP-Telefon zu einer Fritzbox durch eine OPNsense-FW hin. Egal ob sich das Telefon an den SIP-Server (Fritzbox) anmelden soll, geschweige Anrufe getätigt werden können. Verschiedene Hinweise und Dokumentationen brachten keine Lösung. Einen SIP-Proxy habe ich ausgeschlossen, um die Fehlerquellen so niedrig wie möglich zu halten. Die Fritzbox dient als SIP-Server und beinhaltet sowohl die Konfiguration für eine Rufnummer (Unitymedia) als auch die eines VoiP-Geräte-Kontos mit Benutzernamen und Kennwort.

Folgende Konstellation existiert:

       Internet
            :
            : Cable-Provider (Unitymedia)
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox mit konfiguriertem VoIP-Telefon)
      '-----+-----'   LAN: 10.110.180.10
            |
            |
            |
      .-----+------.  WAN: 10.110.180.110
      |  OPNsense |
      '-----+------'  LAN: 192.168.124.10 (Gateway: 10.110.180.10)
            |
            Telefon (192.168.124.110)
            |
            PC (192.168.124.210)

Wird das Telefon direkt in den Switch der Fritzbox gesteckt, funktioniert alles. Die PCs kommen durch OPNsense ins Internet.

Folgende Firewall-Regeln habe ich für das Telefon konfiguriert:

Regel   Proto     Source     Port      Destination    Port        Gateway
LAN     TCP/UDP  Telefon     *          Fritzbox        5060         WAN_Gateway
LAN     TCP/UDP  Telefon      *          Fritzbox        7078:7097     WAN_Gateway

WAN     TCP/UDP  Fritzbox      *          Telefon        5060        *
WAN     TCP/UDP  Fritzbox      *          Telefon        7078:7097   *


NAT Port Forwarding:

Regel   Proto     Source     Port      Destination    Port       NAT       Port
WAN       TCP/UDP  *             *          WAN address    5060        Telefon   5060
WAN       TCP/UDP  *             *          WAN address    7078:7097  Telefon   5060

Aus meiner Sicht hat das Telefon den Zugriff auf die Fritzbox, sowohl für die SIP-Anmeldung als auch für die Sprachübertragung. Sollte die Fritzbox den Rufaufbau initiieren, gibt es die Port-Weiterleitung zur OPNsense.

Was habe ich übersehen oder vergessen? Sollte sich tatsächlich eine Lösung ergeben, werde ich diese hier für alle zusammen fassen.

Besten Dank im Voraus.