Verständnisfrage für einen Newbie

[Hunduster]

Hallo zusammen,

ich bräuchte einmal Hilfe als vollkommener Neuling in OPNsense.

Ich bin selber ITler und habe früher die Sophos UTM geatmet. Diese ist nun zu 2026 endgültig abgekündigt, sodass ich für zuhause nach einer Alternative gesucht habe (auf der Arbeit geht es nun Richtung Fortinet) und die OPNsense gefällt mir richtig, richtig gut 

Die OPNsense habe ich mir nun auf einer zweiten Sophos XG Appliance installiert und das läuft auch richtig gut.

Nachdem ich nun mein Regelwerk soweit "abgeschrieben", habe ich heute den ersten Test gemacht, in dem ich einmal alles umgesteckt habe. Leider komme ich aus meinen verschiedenen Subnetzen nicht mal ins Internet. Die OPNsense selber funkt fröhlich ins Internet während alle anderen angeschlossenen Clients laut Log mit "   Default deny / state violation rule" geblockt werden.

Was mich an der Stelle wundert, und mir nicht ganz aufgeht: kommt ein Datenpaket aus dem LAN, zeigt die OPN es als "incoming" auf dem LAN interface an. Meine Regeln besagen (nach meiner eigenen Logik) jedoch:

"Kommst du aus dem LAN -> machst 80/443 -> willst RAUS ins Internet = PASS"

Aber auch, wenn ich die Regel von OUT auf IN umstelle, komme ich zum Verrecken nicht raus.

Als UTM Admin ist es neu für mich, auf jedem Interface die Regeln zu definieren, aber passt. Was mir nur nicht aufgeht ist die Logik hinter den einzelnen Regeln. Werden die angeschlossenen Clients hinter den Interfaces nicht als "vertrauenswürdig" eingestuft, sodass ich auch eingehende Regeln für jeden Client erstellen muss, der das Interface seines Subnetzes passiert?

Bin für jeden Gedankenanstoß dankbar!

[uneu]

Was vom LAN am LAN-Interface der OPNsense ankommt ist eingehend, also IN.

[Hunduster]

Hallo uneu,

vielen Dank für deine Antwort.

Eine Verständnisfrage noch: muss ich auf ausgehenden Subnetzen auch eine ausgehende Regel erstellen, wenn ich z.B. vom Einen in das Andere Subnetz will?

Beispiel:

Raspberry aus Subnetz IoT soll auf NAS im LAN zugreifen.

Ich würde nun eine Regel auf dem LAN Interface bauen die besagt:

LAN - IN - Source: Raspberry - Destination: NAS = Pass

Muss ich nun auf dem IoT Subentz auch eine Regel bauen die besagt:

IoT - OUT - Source: Raspberry - Destination: LANnet = Pass ?

[uneu]

Der Raspberry hängt am IoT-Interface und soll auf das NAS im LAN zugreifen können.

>>>eingehende Regel (IN) IoT-Interface<<<
Wenn dein Raspberry auch ins Internet darf, dann sollte auf der IoT-Schnitstelle entweder
eine allgemeine Regel "IoT2any" oder eine "Raspberry2any" Regel existieren.
Natürlich auch eingeschränkt auf die erlaubten Ports, wenn gewollt.

>>>eingehende Regel (IN) LAN-Interface<<<
Auf der LAN-Schnittstelle kannst du eine Regel für den Raspberry "Raspberry2NAS" anlegen.
Hier auch eingeschränkt auf Ports, wenn du es für notwendig erachtest.