OPNsense hinter Fritzbox - WAN Verständinsproblem

[saveNAT]

Hallo,

ich habe jetzt lange mit VLANs experimentiert und eigentlich das wesentliche außen vor gelassen.
Mein Testaufbau ist aktuell folgender:

WAN-Anschluss der OPNsense hängt and er Fritzbox. Die OPNsense bekommt ihre IP von der Fritzbox (192.168.178.123).

Am LAN der OPNsense hängt ein Test-Notebook. Das bekommt von der Sense per DHCP die IP 192.168.1.100.

Soweit so gut, aber wieso kann ich jetzt von diesem Test-Notebook auf das Web-Interface der Fritzbox zugreifen.
Ich dachte der WAN-Anschluss würde bei aktiver NAT-Regel die Netze mehr oder weniger trennen?
Mache ich hier einen Denkfehler?

[Patrick M. Hausen]

Alles hinter dem WAN-Anschluss ist "Internet". Für dessen Sicherheit ist die OPNsense nicht zuständig. Die Fritzbox sieht einen völlig normalen Zugriff von 192.168.178.123 aus durch das NAT.

Was die OPNsese tut, ist, zu verhindern, dass man vom "Internet" in das LAN kommt, also die umgekehrte Richtung.

Du willst ja im Normalfall auf alle Ressourcen im Internet zugreifen können. Daher dieses Default-Setup. Klar kannst du das dann anschließend noch einschränken.

[saveNAT]

Was die OPNsese tut, ist, zu verhindern, dass man vom "Internet" in das LAN kommt, also die umgekehrte Richtung.

Du willst ja im Normalfall auf alle Ressourcen im Internet zugreifen können. Daher dieses Default-Setup. Klar kannst du das dann anschließend noch einschränken.

Danke für die Erklärung.
Das habe ich auch getestet und es ist wie du sagt. Vom einen Netz der Fritzbox komme ich nicht ins LAN der Sense. Vom LAN der Sense aber ins Fritz-Netz.

Ist das dann bei Consumer Routern der Begriff WAN anders genutzt?
Hier war mein Verständnis immer, dass man beim Anschluss eines LAN-Kabels vom Hauptnetz an den WAN-Port des zweiten Routers (Büronetz) die Netze so trennt, dass keine Kommunikation zwischen den beiden Netzen möglich wäre (in der Standardeinstellung). Also eine Router-Kaskade.
Also das Büronetz am zweiten Router kann auf kein Gerät im Hauptnetz zugreifen.

[Patrick M. Hausen]

Nein. WAN ist der Internet-Uplink. "Wide Area" im Gegensatz zu "Local Area".

Und wenn du einfach nur Router ohne Firewall kaskadierst, kommst du normalerweise von überall überall hin. Router routen. Und filtern erstmal nix.

Der Lieferzustand der meisten Firewalls - dazu zähle ich jetzt mal Enterprise-Geräte wie eine OPNsense genau so wie Fritzboxen und Co. - ist

- LAN gut, WAN böse
- Zugriff von LAN raus gut, umgekehrt rein böse

Also alles was zum "eigenen" Netz gehört ist vertrauenswürdig und darf zu allem anderen eine Verbindung aufbauen.

Stell dir mal vor, das wäre ab Werk nicht so. Du kämst nicht ins Internet, und könntest nichtmal die Dokumentation abrufen oder das Forum 😉

Wenn du die beiden Netze isolieren willst, dann solltest du z.B. NAT auf der OPNsense ausschalten, passende Firewall-Regeln anlegen, und auf der Fritzbox eine statische Route setzen.

Dazu müsstest du aber mal definieren, was genau du willst.

[saveNAT]

Wenn du die beiden Netzt isolieren willst, dann solltest du z.B. NAT auf der OPNsense ausschalten, passende Firewall-Regeln anlegen, und auf der Fritzbox eine statische Route setzen.

Dazu müsstest du aber mal definieren, was genau du willst.

Vielen Dank. Aktuell passt mir das zum Testen sowieso.
Ich war nur verwirrt, weil ich das anders erwartet hätte und dachte ich hätte beim "Spielen" mit den Firewall Regeln hier schon den ersten großen Fehler gemacht.
Danke für deine schnelle und sehr gut verständliche Aufklärung!

Der Zustand eröffnet mir sogar weitere Möglichkeiten.
Ich hätte theoretisch an der Fritz Box ein isoliertes Netz ähnlich einer DMZ mit dem Unterschied, dass ich darauf nicht nur aus dem Internet mittels Fritz-VPN zugreifen könnte sondern auch aus dem OPNsense Netz ohne, dass ich ein Sicherheitsrisiko eingehe, weil die OPNsense ebenfalls noch NAT macht.
Einziger Nachteil wäre das doppelte NAT, aber bisher habe ich dadurch noch keine Nachteile erkennen können. Somit ist das wohl für meine Anwendungen kein Problem!

[saveNAT]

Und dann hätte ich noch eine Frage solange ich die Fritzbox vor der Sense habe.

Macht es Sinn, dass ich zwei Subnetze betreibe.

Die Fritz hat aktuell als Netz: 192.168.178.xxx
Die Sense hat aktuell: 192.168.1.xxx

Also sieht es für die Fritzbox eigentlich so aus als ob viele Geräte eines unbekannten Subnetzes bei ihr ins Netz wollen.
Ist das ein Problem und sollte ich besser ein Netz aus dem Bereich 192.168.178.xxx für die Sense wählen?

[Patrick M. Hausen]

Das geht nicht. Wenn du zwei Interfaces der OPNsense benutzt, müssen das zwingend zwei verschiedene Netze sein.

Was du tun kannst, ist das NAT auf der OPNsense abschalten und auf der Fritzbox eine statische Route für das LAN der OPNsense eintragen. Dann ist alles ein wenig transparenter und du hast nur einmal NAT.

Du schreibst "solange ich die Fritzbox vor der Sense habe" - ja wieso denn überhaupt? Wenn das bei dir Möglich ist, häng doch die Sense an den Uplink. Eine OPNsense in Defaultkonfiguration ist im Grunde genau so sicher oder unsicher wie eine Fritzbox auch. Mach einfach, es passiert nix.

Default-Policy:

von draußen nix rein
von drinnen alles raus
DHCP und DNS macht die OPNsense
NAT für IPv4

Das ist exakt das, was jedes Consumer-Gerät auch tut.

Dann kannst du dir überlegen, welche erweiterten Security-Features du ausprobieren willst. Das wird alles mit einer extra Fritzbox davor nur schwieriger, komplizierter, fehleranfälliger ...

[Tuxtom007]

Du schreibst "solange ich die Fritzbox vor der Sense habe" - ja wieso denn überhaupt? Wenn das bei dir Möglich ist, häng doch die Sense an den Uplink. Eine OPNsense in Defaultkonfiguration ist im Grunde genau so sicher oder unsicher wie eine Fritzbox auch. Mach einfach, es passiert nix.

Wäre gut zu wissen, welchen Internetzugang er nutzt.

Ich habe bei die Konfiguration, das ich mit einem VLAN zusätzlich auf die Fritzbox gehen um auf die WebGUI zu kommen und damit VoIP-Telefone sich dort anmelden können.

ABER:  Besonderheit, ich hab Kabel-Internet und die FritzBox läuft im BridgeModus, somit würde ich überhaupt nicht über die WAN-Schnittstelle der OPNSense raus auf die FritzBox kommen.
Beim BridgeModus ist die Routing-Funktion der FritzBox überbrückt und die externe IP liegt direkt an der OPNSense an. Für den Telefonteil bekommt die Fritzbox vom Provider dazu extra eine weitere IP.