1
German - Deutsch / Re: Alle WAN Ports offen trotz BLOCK + diverse Problemchen
« on: September 24, 2022, 05:13:49 pm »
Meinste das behebt dann auch das komische WAN verhalten, dass angeblich alle Ports offen sind?
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1]
2
German - Deutsch / Re: Alle WAN Ports offen trotz BLOCK + diverse Problemchen
« on: September 24, 2022, 03:03:49 pm »
@micneu
Eigentlich ungern, ich spiele allerdings schon mit dem Gedanken als Notlösung die ganze OPNsense neu zu installieren.
Ich finde das Verhalten der sense mehr als seltsam.
Schau dir das mal an:
Hier wird versucht von einem Handy einen der Whatsapp Server zu erreichen.
10.0.0.62 -> 157.240.247.60 (https://otx.alienvault.com/indicator/ip/157.240.247.60)
Witzig ist, dass obwohl das Gerät die allow any-any Regel hat, der Traffic genau zu dem Server geblockt, dann aber einige Sekunden später erlaubt und kurz darauf wieder geblockt wird. Fast so wie ein Wackelkontakt in den Regeln.
Am ausgehenden highport kann es auch nicht liegen, denn der wird einmal erlaubt und einmal geblockt.
Das Regelwerk geht doch von oben nach unten, richtig?
Bedeutet auf dem Weg des https Paketes von oben bis zur default deny Regel, kommt es an "allow https" und "allow any-any" vorbei, wird aber irgendwie nicht gematched und landet schließlich bei der default deny und wird geblockt. Das finde ich momentan völlig seltsam.
Eigentlich ungern, ich spiele allerdings schon mit dem Gedanken als Notlösung die ganze OPNsense neu zu installieren.
Ich finde das Verhalten der sense mehr als seltsam.
Schau dir das mal an:
Hier wird versucht von einem Handy einen der Whatsapp Server zu erreichen.
10.0.0.62 -> 157.240.247.60 (https://otx.alienvault.com/indicator/ip/157.240.247.60)
Witzig ist, dass obwohl das Gerät die allow any-any Regel hat, der Traffic genau zu dem Server geblockt, dann aber einige Sekunden später erlaubt und kurz darauf wieder geblockt wird. Fast so wie ein Wackelkontakt in den Regeln.
Am ausgehenden highport kann es auch nicht liegen, denn der wird einmal erlaubt und einmal geblockt. Das Regelwerk geht doch von oben nach unten, richtig?
Bedeutet auf dem Weg des https Paketes von oben bis zur default deny Regel, kommt es an "allow https" und "allow any-any" vorbei, wird aber irgendwie nicht gematched und landet schließlich bei der default deny und wird geblockt.
Das finde ich momentan völlig seltsam.
3
German - Deutsch / Re: Alle WAN Ports offen trotz BLOCK + diverse Problemchen
« on: September 24, 2022, 01:50:42 pm »
@micneu
Erstmal vielen Dank für deine Antwort ich hoffe du kannst mit meinen Angaben unten etwas anfangen und Licht ins Dunkle bringen.
- bitte mal einen grafischen netzwerkplan
Nicht besonders schön, es sollte allerdings alles wichtige daraus hervor gehen.
- bitte screenshots von deinen erstelleten regeln
Regeln des HOMENET Interface:
Regeln des LAN Interface:
Regeln des WAN Interface:
NAT Port Forward Regeln:
NAT Outbound Regeln:
Anmerkung: Die BLOCK Regeln am Ende habe ich zu Troubleshooting zwecken eingefügt.
-[...]bitte auch genau beschreiben was du mit deiner erstellten regel erreichen wolltest (was genau dein ziel war)
Ich bin Paranoid, daher möchte ich wissen wie und wohin meine Geräte ihre Daten schicken. Daher möchte ich jeden ausgehenden Verkehr blocken, außer den, den ich explizit zulasse. Normalerweise konfiguriere ich FW Regeln sehr strikt und nur zu bekannten Zielen z.B. PC1 darf sich nur zu IP/URL X über Port Y verbinden. Hier im Heimnetz bin ich erstmal etwas offener was das angeht, wenn irgendwann mal alles funktioniert wird nachgebessert.
Warum z.B. Port 993 trotz "allow" geblockt wird erschließt sich mir gerade noch nicht. Ebenso das mobile Endgerät mit der any-any Regel, da funktioniert Whatsapp nur eingeschränkt, wird aber auf LTE (Mobile Daten) umgestellt, läuft Whatsapp wieder ohne Probleme.
@Bob.Dig
Beruflich habe ich schon FW der genannten Hersteller konfiguriert, ist also kein "wechsel". Für daheim... nuja, da ist ein Stück Blech mit einer OPNsense Installation kostengünstig und ausreichend. Muss da nicht unbedingt 2k raus hauen. Aber das gehört jetzt nicht hier her.
Erstmal vielen Dank für deine Antwort ich hoffe du kannst mit meinen Angaben unten etwas anfangen und Licht ins Dunkle bringen.
- bitte mal einen grafischen netzwerkplan
Nicht besonders schön, es sollte allerdings alles wichtige daraus hervor gehen.
- bitte screenshots von deinen erstelleten regeln
Regeln des HOMENET Interface:
Regeln des LAN Interface:
Regeln des WAN Interface:
NAT Port Forward Regeln:
NAT Outbound Regeln:
Anmerkung: Die BLOCK Regeln am Ende habe ich zu Troubleshooting zwecken eingefügt.
-[...]bitte auch genau beschreiben was du mit deiner erstellten regel erreichen wolltest (was genau dein ziel war)
Ich bin Paranoid
, daher möchte ich wissen wie und wohin meine Geräte ihre Daten schicken. Daher möchte ich jeden ausgehenden Verkehr blocken, außer den, den ich explizit zulasse. Normalerweise konfiguriere ich FW Regeln sehr strikt und nur zu bekannten Zielen z.B. PC1 darf sich nur zu IP/URL X über Port Y verbinden. Hier im Heimnetz bin ich erstmal etwas offener was das angeht, wenn irgendwann mal alles funktioniert wird nachgebessert. Warum z.B. Port 993 trotz "allow" geblockt wird erschließt sich mir gerade noch nicht. Ebenso das mobile Endgerät mit der any-any Regel, da funktioniert Whatsapp nur eingeschränkt, wird aber auf LTE (Mobile Daten) umgestellt, läuft Whatsapp wieder ohne Probleme.
@Bob.Dig
Beruflich habe ich schon FW der genannten Hersteller konfiguriert, ist also kein "wechsel". Für daheim... nuja, da ist ein Stück Blech mit einer OPNsense Installation kostengünstig und ausreichend. Muss da nicht unbedingt 2k raus hauen. Aber das gehört jetzt nicht hier her.
4
German - Deutsch / Alle WAN Ports offen trotz BLOCK + diverse Problemchen
« on: September 24, 2022, 10:26:17 am »
Guten Morgen,
ich habe seit wenigen Tagen eine OPNsense 2.7.4 laufen, bin also neu in der OPNsense Welt. Ich habe bereits google bemüht, finde aber keine Antwort zu meinem "Problem" und möchte mich daher hier mit euch austauschen.
Nach Problemen mit DSlite, wurde ich von meinem ISP auf Dual-Stack umgestellt und bin seitdem mit PPPoE über die WAN Schnittstelle eingewählt. Als DSL Modem fungiert ein DrayTek Vigor 167 mit aktueller Firmware, welches VLAN7 an die OPNsense weiter gibt. Soweit so gut.
Ich habe insgesamt 3 Schnittstellen konfiguriert: Die zwei die direkt nach der Installation vorhanden sind (LAN, WAN), sowie eine HOMENET Schnittstelle an der eine FritzBox (IP Client) für VOIP und als WLAN AP arbeitet.
Das VOIP habe ich nach dieser Anleitung konfiguriert: https://www.mg-sky.de/2019/02/17/voip-mit-einer-fritz7490-hinter-pfsense/
Vom HOMENET aus ist HTTPS, DNS, ICMP nach außen erlaubt für alle Clients (Richtung IN).
Die LAN Schnittstelle mit ihrer anti-lockout Regel nutze ich als "Management Port" um im Notfall auf die OPNsense verbinden zu können, falls ich mich über die HOMENET Schnittstelle aussperren sollte. Da sind also keine Geräte angeschlossen.
Nachdem ich nun einige Regeln im HOMENET erstellt habe beobachte ich ungewöhnliches Verhalten.
1. Ein Gerät, welchem ich vollen ungefilterten WAN Zugriff erlaube (Testzwecke any-any), weißt trotzdem ein BLOCK verhalten auf. Konkret geht es um ein Handy und die Nutzung von Whatsapp. Nachrichten kommen verzögert an, Bilder und Medien Inhalte werden nicht heruntergeladen. (https://networkguy.de/allowing-whatsapp-and-facebook-via-firewall-rules/ wurde beachtet)
2. Ausgehender Datenverkehr von meiner Workstation zu meinem Email Server über Port 993 wird ebenfalls geblockt, obwohl die Regel ganz oben steht und ALLOW besagt.
3. Wenn ich meine Public IP von extern z.B. über ShildsUp, Heise.de Netzwerkscanner oder von meinem eigenen externen Server mit nmap scanne (-sT full connect und -sS synscan), werden mir ALLE Ports als offen zurück gemeldet. Im Live Log der OPNsense sehe ich jedoch, dass der Traffic über die BLOCK Regel abgewiesen wird.
Wenn ich von meiner Workstation vom HOMENET aus die OPNsense mit nmap auf ihrer internen Schnittstellen IP (10.0.0.1) scanne, bekomme ich das selbe verhalten. Ich sehe, dass alle Pakete für die nicht im Regelwerk definierten Ports geblockt werden, nmap selbst zeigt mir aber alle Ports als offen an.
Ich verstehe dieses Verhalten nicht und bin mir nicht sicher, ob das Bug oder Feature ist.
Von kommerziellen FW wie Forti, Huawei, Sophos oder Cisco kenne ich ein solches Verhalten nicht.
Ich würde mich über Erleuchtung zu diesem Thema freuen.
Grüße
seni
ich habe seit wenigen Tagen eine OPNsense 2.7.4 laufen, bin also neu in der OPNsense Welt. Ich habe bereits google bemüht, finde aber keine Antwort zu meinem "Problem" und möchte mich daher hier mit euch austauschen.
Nach Problemen mit DSlite, wurde ich von meinem ISP auf Dual-Stack umgestellt und bin seitdem mit PPPoE über die WAN Schnittstelle eingewählt. Als DSL Modem fungiert ein DrayTek Vigor 167 mit aktueller Firmware, welches VLAN7 an die OPNsense weiter gibt. Soweit so gut.
Ich habe insgesamt 3 Schnittstellen konfiguriert: Die zwei die direkt nach der Installation vorhanden sind (LAN, WAN), sowie eine HOMENET Schnittstelle an der eine FritzBox (IP Client) für VOIP und als WLAN AP arbeitet.
Das VOIP habe ich nach dieser Anleitung konfiguriert: https://www.mg-sky.de/2019/02/17/voip-mit-einer-fritz7490-hinter-pfsense/
Vom HOMENET aus ist HTTPS, DNS, ICMP nach außen erlaubt für alle Clients (Richtung IN).
Die LAN Schnittstelle mit ihrer anti-lockout Regel nutze ich als "Management Port" um im Notfall auf die OPNsense verbinden zu können, falls ich mich über die HOMENET Schnittstelle aussperren sollte. Da sind also keine Geräte angeschlossen.
Nachdem ich nun einige Regeln im HOMENET erstellt habe beobachte ich ungewöhnliches Verhalten.
1. Ein Gerät, welchem ich vollen ungefilterten WAN Zugriff erlaube (Testzwecke any-any), weißt trotzdem ein BLOCK verhalten auf. Konkret geht es um ein Handy und die Nutzung von Whatsapp. Nachrichten kommen verzögert an, Bilder und Medien Inhalte werden nicht heruntergeladen. (https://networkguy.de/allowing-whatsapp-and-facebook-via-firewall-rules/ wurde beachtet)
2. Ausgehender Datenverkehr von meiner Workstation zu meinem Email Server über Port 993 wird ebenfalls geblockt, obwohl die Regel ganz oben steht und ALLOW besagt.
3. Wenn ich meine Public IP von extern z.B. über ShildsUp, Heise.de Netzwerkscanner oder von meinem eigenen externen Server mit nmap scanne (-sT full connect und -sS synscan), werden mir ALLE Ports als offen zurück gemeldet.
Im Live Log der OPNsense sehe ich jedoch, dass der Traffic über die BLOCK Regel abgewiesen wird.Wenn ich von meiner Workstation vom HOMENET aus die OPNsense mit nmap auf ihrer internen Schnittstellen IP (10.0.0.1) scanne, bekomme ich das selbe verhalten. Ich sehe, dass alle Pakete für die nicht im Regelwerk definierten Ports geblockt werden, nmap selbst zeigt mir aber alle Ports als offen an.
Ich verstehe dieses Verhalten nicht und bin mir nicht sicher, ob das Bug oder Feature ist.
Von kommerziellen FW wie Forti, Huawei, Sophos oder Cisco kenne ich ein solches Verhalten nicht.
Ich würde mich über Erleuchtung zu diesem Thema freuen.
Grüße
seni
Pages: [1]