Messages

Jajaja, Du hast ja recht  8)

Das ist halt für den (immerhin interessierten) Laien einfach so kontraintuitiv. Ich will, dass der Rechner nicht raus (also OUT into the www) darf. Und dann ist IN irgendwo nicht logisch. Klar, wenn man es aus Sicht der Firewall sieht, schon. Aber dahin muss ich erstmal gedanklich kommen. Und wenn ich nur alle Jubeljahre mal was am System ändern muss, mache ich den selben Denk-Fehler halt immer wieder :-[

Aber ich seh es in meinem Beruf auch. Einem Laien kann ich da auch nur schwer verständlich machen, dass das Girokonto im Minus auf der HABENseite der Bilanz steht ;-)

Ich glaube, ich habe den Fehler schon selbst gefunden. In der Firewallregel bei "Direction" "in" anstatt "out" und es klappt, so wie das gerade aussieht. Wenn ich die Schedule jetzt um 14:36 bereits um 14:00 Uhr enden lasse, komme ich ins Netz, wenn ich sie wieder auf 15:00 Uhr stelle, wird geblockt.

Manchmal muss man nur etwas aufschreiben und kommt dann selbst auf die Lösung. Wobei ich mich tatsächlich frage, warum das bei einem Kind mit "out" funktioniert hat, da ich die grundsätzliche Regel nur kopiert hatte. Hmm...muss wohl versehentlich doch etwas verstellt haben...

Naja, Problem gelöst, kann also zu hier :-)

Für sachdienliche Hinweise, was ich vielleicht doch noch besser oder einfacher machen kann, bin ich natürlich immer dankbar :-)

Viele Grüße
Chris.

Jetzt noch die Screenshots der Logs aus der Firewall zur OPNsense 21.1.8.1

[EDIT: Bevor jemand bis zum Ende liest, ich habe den Fehler bereits gefunden, siehe ganz unten.]

EDIT: Bevor jemand bis zum Ende liest, ich habe den Fehler bereits gefunden, siehe ganz unten.

Hallo Forum,

ich versuche es erst einmal im deutschsprachigen Forum, weil ich hoffe, mich hier besser verständlich machen zu können.

Ziel:
Zwei Usern mit jeweils drei Geräten zeitgesteuerten Zugriff ins Internet zu gewähren. Richtig vermutet, zwei Kinder in den Sommerferien, die ansonsten noch spät in der Nacht vor den Geräten hängen, wenn die Eltern schon ins Bett wollen ;-)

Vorweg:
Ich hatte das Ganze seit Monaten bereits für ein Kind am Laufen, erst seit die Schedule für das zweite Kind dazukam, werden beide Schedules ignoriert.

Was habe ich gemacht? (Achtung: Laienbeschreibung ;-))
1.) Allen Geräten feste IP-Adressen zugeordnet (192.168.40.30-32 für Kind 1 und 192.168.40.40-42 für Kind 2)
2.) Zwei Aliase eingerichtet für die Kindergeräte (siehe "Aliases Niklas.png" als Beispiel)
3.) Zwei Schedules eingerichtet (siehe "Schedules Settings.png")
4.) Firewall-Regeln eingerichtet (siehe "VLAN40 Rules Firewall.png" und "VLAN40 Block Rule Schedule Niklas.png")
5.) Cronjob eingerichtet, der kill states um 20.31 und 0.01 Uhr ausführt.

Trotzdem kommen beide Kinder rund um die Uhr ins Internet. Die Schedule für Kind2 (Niklas) ist um 12.32 Uhr aktiv (grün hinterlegt) lt. Screenshot "VLAN40 Rules Firewall.png". Trotzdem ist der erste Match die letzte Regel ganz unten, siehe "Log Files Internetzugriff Niklas.png" und "Log Files Internetzugriff Niklas Detail.png" (angehängt im nächsten Post wg. Hochladebeschränkung).

Ich bin jetzt völlig ratlos, habe zugegebenermaßen aber auch nicht so wahnsinnig viel Ahnung von der Materie. Ich kann mich in Foren einlesen und Anleitungen befolgen, aber wenn dann etwas hakt und ich bei der Suche nach dem Fehler nicht fündig werde, bin ich aufgeschmissen. Deshalb hoffe ich auf die geballte Forenpower.

Viele Grüße
Chris

Hi und Danke für Deine Antwort :-)

Also hat mich mein Bauchgefühl nicht getrogen, dass die in dem von mir verlinkten Artikel beschriebene Vorgehensweise irgendwie kontraintuitiv ist.

Wenn ich Dich richtig verstanden habe, funktioniert die OPNsense dann genauso wie alle anderen Firewalls. Was nicht explizit erlaubt wird, wird standardmäßig geblockt, was ja auch irgendwie sinnvoller ist als "alles was nicht explizit verboten ist, wird per Allow all-Regel am Ende erlaubt", was bei mir gerade scheinbar das Regelset ausmacht.

Das heißt für mich, ich werde versuchen, das Regelset zwischen den Jahren nochmal neu aufzusetzen und melde mich dann, wenn ich noch Fragen haben sollte.

Danke erstmal und schöne Feiertage
Chris.

Hallo zusammen,
nach der erfolgreichen Installation einer OPNsense auf Zotac CI329 werde ich wahnsinnig, weil ich es nicht hinbekomme, Clients von der Weboberfläche fernzuhalten.

Die Konfig ist folgendermaßen:

Fritzbox 192.168.178.1
|
WAN 192.168.178.2
OPNsense
LAN 192.168.1.1 (in dem Subnetz hängen Raspi 192.168.1.2 mit pihole und Unifi Controller sowie drei Unifi Access Points)
|                                  |                              |
VLAN10 192.168.10.1    VLAN 20                   VLAN 30

Ich habe meine Firewall-Regeln grundsätzlich nach dieser Anleitung hier gebaut: https://homenetworkguy.com/how-to/configure-opnsense-firewall-rules/

Die Firewall-Konfiguration für LAN und beispielhaft VLAN30 habe ich angehängt. Damit sollen folgende Ziele erreicht werden:
1.) Internetzugriff
2.) Nutzung nur des piholes als DNS-Server
3.) Kein Zugriff auf Geräte im LAN (pihole und Unifi Zeug) und anderen VLANS
4.) Kein Zugriff auf die Fritzbox über die WAN-Adresse

Die anti-lockout-rule habe ich ausgeschaltet. Damit ich aber trotzdem noch Zugriff auf OPNsense, Raspi und Fritzbox habe, habe ich für jeweils ein Gerät mit fester IP in den VLANS 10 und 20 ein Alias "AdminDevices" erstellt und diesen über die floating rules Zugriff auf die Geräte gewährt. Funktioniert für Raspi und Fritzbox auch einwandfrei. Hier kann ich nur mit den AdminDevices zugreifen. Auch kann ich nur mit den AdminDevices auf die 192.168.1.1 der OPNsense zugreifen.

Aber wenn ich auf egal welchem Gerät die Adresse des jeweiligen Gateways aufrufe (192.168.10.1, ...20.1, ...30.1) lande ich auch auf der GUI der OPNsense. Und das möchte ich nicht sondern dass hier nur die beiden AdminDevices über 192.168.1.1 Zugriff haben.

Wahrscheinlich habe ich irgendwo einen depperten Denkfehler. Aber wo?

Ich muss dazu sagen, die Regelsetzung bei der OPNsense ist Neuland für mich. Bisher hatte ich mit Unifi-Produkten gearbeitet, namentlich einer Unifi Dream Machine. Aber da man da einen Accountzwang beim Einrichten hat und mit den gleichen Zugangsdaten, die man auch für das dortige Forum nutzt, seine Dream Machine remote administrieren kann und außerdem Telemetrieübertragung nicht vollständig abschalten kann bin ich meinem Bauchgefühl gefolgt und hab mir gedacht, europäische Nutzer sollten mit europäischen Lösungen arbeiten und habe die OPNsense aufgesetzt.

Für hilfreiche Hinweise sage ich schon einmal herzlichen Dank.

Viele Grüße
Chris.