Messages

[Warnung: Folgende Info auf eigenes Risiko!]

Warnung: Folgende Info auf eigenes Risiko!
Du kannst die automatische Anti Lockout Rule deaktivieren, um zu testen, ob sich das gewünschte Verhalten dadurch einstellt. Den Punkt findest du unter Firewall -> Settings -> Advanced -> Disable anti-lockout.

Falls du dich dadurch selbst aus der Firewall aussperrst: ich bins nicht gewesen - du wurdest gewarnt!

Weiss nicht ob das der Königsweg ist, aber es tut. Besten Dank an alle Beteiligten !!

Ja Sollte könnte müsste das Programm is schrott und macht was es will..  oder es macht garnichts  hat irgendein BUG .. ich kann einstellen voll hauen nichts passiert nichts wird gefilter nichts wird blockiert , oder alle wird blockiert...

Ich bin absolut nicht der Meinung, dass opnsense Schrott ist. Das System funktioniert bei mir zu Hause seit gut über einem Jahr  einwandfrei. Einzig die Hardware hat sich am Samstag verabschiedet, weswegen ich es komplett neu aufsetzen musste. Glücklicherweise hatte ich ein Backup der Config - leider nicht ganz aktuell, aber immerhin - von der ich starten konnte. Andernfalls wäre es richtig mühsam geworden.

Ich denke es handelt sich um ein spezielles Phänomen, was mit dem richtigen Wissen vermutlich leicht gelöst werden kann.

[nicht]

@mathie, greifst du wirklich von außen zu? Also z.B. über eine Mobilverbindung? Wenn dein Browser auf einem Gerät im LAN läuft, kommt der Zugriff aus der grünen Zone, auch wenn du die externe IP-Adresse eingibst.

Richtig, genau das ist der Hintergrund: Ich will eben erreichen, dass ich z.b. mit dem WLAN (Internetzone: 192.168.178.0/24), wo ich dem User eine Adresse direkt von der Fritzbox gebe nicht auf die Grüne-Zone (192.168.188.0/24) zugreifen kann. Im Grunde ist das auch der Fall, nur eben gibt es für die OpnSense-Admin-Services: 443/22/80 scheinbar die automatisch generierte Rule (siehe Bildchen)



OpnSense IP 192.168.188.1
Mobiltelefon IP: 192.168.178.43

Ich habe den Zugriff von Mobiltelefon auf OpenSense erfolgreich getestet. Und ich denke ich habe die Zonen korrekt eingerichtet.

Was mich jetzt allerdings wundert, ist, dass die "anti-lockout rule" ja für die Internetzone generiert worden ist. Theoretisch sollte die in dem von mir beschriebenen Zugriff: internet->green-zone eigentlich gar nicht greifen.... wenn schon, dann nur ausgehend, oder ?

Folgendes Setup:

2 Interfaces:
- Internet-Zone
- Green-zone

Wenn ich nun auf das Admin-WebGUI aus der Internetzone zugreife, dann sehe ich, dass folgende Rule greift: "anti-lockout rule"
Wenn ich nun bei Firewall->Rules schaue, dann sehe ich, dass nur das Internet Interface eine solche Rule hat. Diese Rule wurde sogar automatisch eingerichtet.(siehe angehängtes Bildchen)

Wie kann ich erreichen, dass ich auf das Webinterface nur aus der Green-Zone zugreifen kann ?

Thanks everybody for your replies. Which helped at least mentally  ;) ... because I saw I am somehow on the right track.
In the end I had indeed 2 routing issues  when traffic was routed back into my home-net/client:
1. The fritzbox didnt had the route to reach the nets spanned by opnsense router/gateway.
2. In the first setup I had 2nd fritzbox wich I was using as kind of "poor man" intranet/dmz gateway.

This means no issues with opnsense at all. On the other hand lot of issues while passing back traffic via my 2 fritzboxes.

I think, opnsense is really easy and pretty much forward. From what I saw in the last few days... OK, I have to admit I did pretty much using the defaults, while configuring everything.

What I actually want to achieve is a "router-on-a-stick" setup. So I am using a raspi with only single ethernet port in combination with a managed switch. On the switch I already setup adequate vlans, untagged ports and a trunk port with all my vlans. The latter is connected with my opnsense.
Questions: Is it necessery to setup a bridge and configure vlan interfaces below the bridge ? What is general solution look like ?

I am unable to use opnsense as router.

my setup:

Code Select Expand


root@OPNsense:~ # netstat -4nr
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            192.168.178.1      UGS    ue0_vlan
127.0.0.1          link#2             UH          lo0
192.168.178.0/24   link#6             U      ue0_vlan
192.168.178.2      link#6             UHS         lo0
192.168.188.0/24   link#5             U           ue0
192.168.188.31     link#5             UHS         lo0


Note that I have default gateway set to 192.168.178.1, which is my DSL Modem.

On my Client with IP 192.168.188.48 I am trying to access internet via opnsense router, so I maintain the following routing table:

Code Select Expand


netstat -nr
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface
0.0.0.0         192.168.188.31  0.0.0.0         UG        0 0          0 enp2s0
192.168.188.0   0.0.0.0         255.255.255.0   U         0 0          0 enp2s0


Now I am trying to reach internet.
From opnsense it is working (via 192.168.178.1):

Code Select Expand


root@OPNsense:~ # ping freebsd.org
PING freebsd.org (96.47.72.84): 56 data bytes
64 bytes from 96.47.72.84: icmp_seq=0 ttl=53 time=104.885 ms
64 bytes from 96.47.72.84: icmp_seq=1 ttl=53 time=103.891 ms
^C
--- freebsd.org ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 103.891/104.388/104.885/0.497 ms



From Client it is not:

Code Select Expand


ping freebsd.org
PING freebsd.org (96.47.72.84) 56(84) bytes of data.
^C
--- freebsd.org ping statistics ---
1 Pakete übertragen, 0 empfangen, 100% packet loss, time 0ms


On opnsense I see packats comming in, but seems like they are not routed to default gateway (because I dont get responses)

Code Select Expand


tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ue0, link-type EN10MB (Ethernet), capture size 262144 bytes
22:51:06.363473 IP 192.168.188.48 > wfe0.nyi.freebsd.org: ICMP echo request, id 6, seq 1, length 64
^C
1 packet captured
56 packets received by filter
0 packets dropped by kernel



Do I miss firewall rules ? Which rules I have to implement for interfaces ue0 and ue0_vlan ?