1966
German - Deutsch / Re: OPNSense hinter FB 6490 Cable
« on: September 26, 2017, 08:52:11 am »
Ohne NAT-Regeln geht es aber nicht.
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Ich meine nicht den aktiven Zugriff darauf, sondern die Like Buttons die überall umherschwirren und auch ohne das du Mitglied bei FB bist dafür sorgen das dein Profil sich füllt.
@fabianIst noch gar nicht so lange her, dass ich eine größere Bilddatei an einen Forenuser dort so verschickt habe.
es geht um Home-Use da ist keiner der aus den USA (außer vielleicht wenn man selbst dahin in Urlaub fährt) auf einen Webserver zugreifen müsste. Hat er auch nicht geschrieben das er irgend eine Art Webserver dort direkt betreibt.
IPv6 blocke ich, weil ich das solange denn möglich aus dem privaten Netz raushalten will. Denn
* ich will keine direkte Zuordnung von einzelnen Teilnehmern meines Netzes zu deren surf Angewohnheiten
* ich will meinen Traffic über VPN NATen aus genau dem selben Grund
das mit dem Tunnel über ICMP ist richtig, macht aber auch keinen unterschied, denn es geht ja auch über Tor/SSL VPN weiter nach draußen. Erfüllt dann auch den gleichen Zweck. Wenn meine Kinder so weit sind (Hut ab)Doch das macht einen Unterschied: Deine Firewall wird so umgangen - die Regeln können nicht mehr durchgesetzt werden und es lässt sich zum Beispiel jede Webseite öffnen - auch wenn du sie eigentlich blockierst.
Ich tippe mal darauf das du keine Kinder hast, denn sonst wirst du schnell merken das das ich blocke mal alles was nicht whitelisted ist, schnell regelmäßig zu Familienkrisen führen wird.Gut geraten - ich hab Informationssicherheit studiert - entsprechend sehen meine Empfehlungen aus - ob du sie Umsetzt bleibt natürlich dir überlassen.
Dein Ratschlag am Ende, das ein Tor Plugin von dir bald kommt, kann ich in diesem Zusammenhang fast nur als Ratschlag an seine Kinder sehen ;-)Das sollte sich sogar einrichten lassen (Tor als transparenter Proxy - ist eine advanced Option). Macht aber Probleme mit UDP-Datenverkehr weil dieser mit Ausnahme von DNS nicht über Tor geleitet werden kann. Ist alles eine Sache der Firewallkonfiguration.
[OT] Du bist dir hoffentlich bei der Implementierung des Tor Plugins auch über die Konsequenzen bewusst. Ein System was sich Zwecks Anonymisierung auf Tor verlässt (sprich klick mal schnell und anonym) ist da schnell für Leute in unterdrückten Regime ein Todesurteil. Wenn ein System Tor verwendet sollte es auch dafür sorgen das kein Traffic der den Nutzer verraten kann das normale Netzwerk verlässt.
D.h. das ich z.b über das Handy Netz (LTE what ever) eine OpenVPN Verbindung aufbauen muss.
Einen OpenVPN Client müsste ich dann auf dem Handy einrichten, den Server auf der OPNSense, richtig?
Wieso legst du die Regeln als Floating an?Also ich habe bei mir alle Regeln auf IPv4+IPv6 - so funktioniert mein Netzwerk zumindest noch wenn ich IPv6 hab. Solange es im WAN kein IPv6 gibt, geht ohnehin nichts über IPv6 raus.
Die IPv6 Regeln kannst du dir gefühlt auch sparen, da du dafür zu weit von den öffentlichen IPv6 weg bist.
Die hätte ja wenn die FB und würde ein /64 vielleicht noch an die OPNsense weitergeben. Das du dann etwas kleineres als das dann noch sinnvoll weiter verteilen kannst ist sehr unwahrscheinlich.
Auf dem WAN Interface legst du deine Freigabe für dein OpenVPN an SOURCE würde ich (sofern du nicht in weiteren Ländern Urlaub machst) auf einen GEOIP Alias DACH (Deutschland/Östereich/Schweiz begrenzen) SOURCEPORT HIGHPORTS DESTINATION THIS FIREWALL OPENVPN. Du kannst auch einen weiteren ALIAS anlegen PUB_SERVICEPORTSDas könnte eine gute Idee sein - außer wenn da wer aus den USA drauf muss (zum Beispiel weil man ne große Datei nicht per Mail verschicken will). Muss man halt selber wissen was man braucht.
in den du OPENVPN/HTTPS/SSH legst. Dann brauchst du nur eine Regel für eingehenden Traffic.
Für den Zugriff ins Internet legst du auf dem jeweiligen Interface (WLAN/LAN) je eine Regel an wie ich zuvor schrieb HIGHPORTS auf ALLOWEDPORTS an. Nur IPV4 TCP/UDP.Bei allem außer ICMP: IPv4+IPv6.
Wenn du Hosts im Internet Pingen musst, kannst du eine weitere Regel anlgegen IPv4 ICMP ECHO REQUEST.
Pingen dürfen die Kinder immer ;-)Da gibts schon theoretisch schon einen VPN an der Firewall vorbei
Ich hab jedoch zusätzlich den Traffic über ein VPN ausgehend gerouted, da ich jetzt schon Sorgen hab wenn "Kumpels" Tablets/Laptops mitbringen das sie mir nicht irgendwelche Torrents o.ä. über die Leitung saugen und damit rechtliche Probleme ins Haus holen. Das fängt ja heute schon bei Streamingportalen an.* Nicht vertrauenswürdige Geräte kommen nicht is (W-)LAN
Die andere Frage stellt sich mir, ob die FB auch die Anfrage weiterleitet an die OPNSense via OPNVPN.
Ich weiß nicht ob die Einstellung für exposed Host reicht und die FB das eifnach durchreicht.
Oder man verwendet sslh, ist im repo mit drin. (pkg install sslh)
bzgl. Firewall Einstellungen
mach zwei Aliase
HIGHPORTS 1024:65535
ALLOWED_PORTS 21,22,23,43,80,110,123,143,443,465,554,563,587,993,995,HIGHPORTS
Sep 24 17:07:35.000 [warn] Couldn't open file for 'Log debug file /var/log/tor.log': Permission denied
- Webproxy zusätzlich zum DNS Unbound nutzen oder ist das doppelt gemoppelt?Nein, der Proxy kann ja die Inhalte prüfen bzw. prüfen lassen (ICAP).
- richtige FW Einstellungen für LAN und WLAN, also musst haveda würde ich einfach mal die Einstellung alles aucher HTTP(S), SSH und DNS blockieren verwenden und dann nach und nach freigeben, was benötigt wird.
- Zeitplan für bestimmte IPs im LAN und WLANIst im Reiter Firewall angesiedelt. Du kannst das bei einer Firewallregel angeben - außerhalb dieser Zeit trifft die Regel nicht zu.
- Zugriff von außerhalb auf die OPNsense und die S7 SteuerungWürde die nur über VPN erlauben - es gibt OpenVPN und Mobile IPsec out of the Box, weitere können über plugins hinzugefügt werden. OpenVPN ist sehr vorteilhaft gegenüber IPsec, weil es keine Probleme mit NAT macht (TCP oder UDP). Ohne VPN sollte kein Gerät von außen erreichbar sein, außer es soll für JEDEN zugänglich sein. Falls du den Port nicht für HTTPS brauchst, würde ich dir OpenVPN via TCP auf 443 empfehlen.