Firewall Regel - Netzwerke untereinader verbinden

Started by gerald_FS, September 10, 2022, 11:30:19 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 10, 2022, 11:30:19 AM Last Edit: September 10, 2022, 11:38:29 AM by gerald_FS
Hallo zusammen!

ich richte gerade meine erste eigenen Installation mit OPNSense ein.
Grundsätzlich funktioniert es wie es sein soll, aber - und jetzt kommt es - ich will was realisieren was man im Regelfall nicht tut.

Und daran scheitere ich :P



Im "LAN" befinden sich meine Server/Rechner/Drucker.

Zusätzlich habe ich drei VLAN angelegt, jedes VLAN für sich funktioniert und ist getrennt zu den anderen.
Jetzt soll aber ein Rechner aus dem IoT-Netz erreichbar sein und auch darauf zugreifen.

Dies wird jedoch durch eine automatisch erstellte Regel immer blockiert - egal was ich für Regeln in VLAN "IoT" und/oder LAN erstelle.

Wie kann ich dieses Problem lösen?

Würde gerne die verbiete alles an das Ende stellen.
Oder wie muss meine Regel aussehen?

Nachdem mein Erfahrungsschatz sehr klein ist, brauche ich Eure Hilfe!



Liebe Grüße

Gerald
September 10, 2022, 12:03:04 PM #1
Jetzt zeige noch deine Regeln und Dir kann geholfen werden. 
September 10, 2022, 12:33:00 PM #2
Klar, sorry - ich hoffe man schreibt es so


IoT
erlauben - eingehend - alles
erlauben - ausgehend - alles
erlauben - eingehend - aus LAN-Netzwerk  - Ziel IoT-Adresse
erlauben - eingehend - aus LAN-Netzwerk - Ziel LAN-Adresse

LAN
erlauben - eingehend - alles
erlauben - ausgehend - alles
erlauben - eingehend - aus IoT-Netzwerk 
September 10, 2022, 01:20:46 PM #3
Also mit den Regeln wird eh alles erlaubt... was soll denn damit bitte geblockt werden (screenshot)?
September 10, 2022, 01:32:42 PM #4 Last Edit: September 10, 2022, 01:41:11 PM by gerald_FS
Stimmt -  zum testen habe ich alles freigegeben....
September 10, 2022, 04:30:43 PM #5
Mein Tipp wäre nicht mit irgendwelchen ausgehend Regeln anzufangen, als Beginner sollte man nur die eingehenden (aus Sicht der Firewall) Regeln benutzen, ausgehenden löschen und nochmal versuchen. Dann bei Problemen hier die Regeln zeigen, wo es hakt. 
September 11, 2022, 07:55:31 AM #6
Ich hänge dir mal einen Screenshot einer meiner Regel zwischen zwei VLAN an.

Ich arbeite mit Aliases, in dem Fall wird der Zugriff eines Servers auf das IoT-Vlan komplett freigeschaltet.
Als Source trägst du dann eben dein Netz ein.

Eine Deny-all Regel kommt dann am Schluss, kann man machen

Und immer dran denken, dei Regeln werden nach dem Prinzip:
- Top-to Down
- first match 

abgearbeitet, also von oben nach unten und nach dem ersten Treffen werden die nachfolgenden ignoriert.
September 11, 2022, 11:55:32 AM #7
Guten Morgen!

Danke für Ihre Hilfe!

Das Problem saß vor dem Rechner  :-X :-\

Da ich gerade mein gesamtes Netzwerk  umgebaut habe und immer nur Schritt für Schritt gemacht habe, lief mein alter Server noch, darauf war ebenfalls eine Firewall und die beiden haben nicht so miteinander harmoniert.
Die alte abgeschalten und alles läuft - so jetzt kann ich auch  entsprechend die Regeln erstellen  :)


Frage gibt es Musterkonfiguration von Regeln?


Liebe Grüße

Gerald
September 13, 2022, 12:03:54 PM #8
> Frage gibt es Musterkonfiguration von Regeln?

Nein gibt es nicht, das wäre zu divers denn irgendwem würde garantiert immer irgendwas fehlen.

Allerdings noch ein Hinweis: man sollte gerade zu Beginn tunlichst vermeiden "AUSgehende" Regeln auf den Interfaces zu erstellen, wenn man den Flow und Ablauf der Pakete und die Arbeitsweise des Paketfilters noch nicht intus hat. Allermeistens kommt bei irgendwelchen händischen outbound Regeln quatsch raus, der nicht notwendig ist oder im Zweifelsfall noch kontraproduktiv. Also nicht einfach irgendwelche Regeln mal so mal so erstellen bis irgendwann was funktioniert.

Beispiel findet sich in deinen Screenshots: auf IoT ausgehend(!) LAN Netz auf LAN Addr zu erlauben bringt hier gar nichts, denn der Traffic wird sich auf IoT nicht finden sondern nur auf dem LAN Interface zutragen. :)

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 13, 2022, 10:01:35 PM #9
Hallo, ich bin bei JeGr sich erstmal mit den Basics von Opnsense zu beschäftigen, alles andere ist raten, lass dich nicht von "eingehend" "ausgehend" verwirren, zu 99% benötigst du nur eingehende Regeln was soviel bedeutet das Paket wird geprüft wenn es in (eingehend) die Firewall kommt (egal von welchem Interface). Schau mal hier rein, https://docs.opnsense.org/manual/firewall.html#processing-order.

Dann sollte klar sein was mit "eingehend" und "ausgehend gemeint ist.

Um einen Rechner im IOT Netz vom LAN Netz zu erreichen gehst du folgendermaßen vor:

Interface: LAN
Direction: In
TCP/IP Version: <was du brauchst>
Protocol: <was du benötigst, idR TCP und/oder UDP>
Source: any
Destination: <IP vom Rechner im IOT Netz>
Port: <was du benötigst>

Aus Sicht der Firewall bedeutet das:
Die Firewall prüft das eingehende Paket am LAN Interface und lässt den Zugriff auf den Rechner im IOT Netz zu. Trifft eine der Bedingungen nicht zu (Protokoll, Port, Source Destionation, ...) wird das Paket verworfen.

Beispiel Internet Traffic zulassen: Wenn man mit OpnSense nicht vertraut ist würde man intuitiv annehmen eine ausgehende Regel bei WAN zu erstellen, dem ist aber nicht so.
Du erstellst am LAN Interface eine Regel das dort (am LAN Interface) eingehende Pakete Systeme im Internet erreichen können.

Hoffe das hilft.


lg

Print
Go Up Pages1
User actions