Basiskonfiguration eines OPNsense Systems

[Sunzi]

Hallo zusammen,

einige Threads habe ich hier schon gefunden, aber die sind eher spezifisch (z.B. Grundconfig hinter FB...).
Gibt es eine deutsche Doku wie eine OPNsense Firewall grundlegend konfiguriert werden sollte?

Sehe ein enormes Potential im System, aber auch die Gefahr wenn es falsch konfiguriert wird.
Gibt es eine Basisanleitung, Empfehlung,... wie das System sicher aufgebaut werden kann/soll?
Oder einen bestimmten Thread der das beschreibt?
Oder etwas in SoMe (YouTube,...)?

[chemlud]

1. Regel: ABSOLUT KEINE Regeln auf dem WAN-Interface (außer du weisst genau was du tust und warum).

2. Regel: Immer genau überlegen, welcher Client/welches Netz welche ausgehenden Regeln brauchen, möglichst kein "allow any any" auf dem LAN, wie es nach der Installation eingestellt ist, um den Einstieg zu erleichtern.

3. Immer mehr über Netzwerke und Netzwerksicherheit lesen und dann weiter konfigurieren.

4. Bei Fragen fragen. Dafür gibt's das Forum, aber auch die Suchmaschinen (1. Anlaufpunkt...)

[chemlud]

5. Wissen was out-of-state traffic ist... https://forum.opnsense.org/index.php?topic=18735.msg85751#msg85751 ;-)

[Patrick M. Hausen]

Kannst Du das mit dem WAN Interface mal erklären? Ich verwende OPNsense nicht als Firewall sondern nur für VPN-Tunnel und Dienste wie DHCP. Aber ich setze seit 30 Jahren Firewalls auf und die haben natürlich das globale deny all, die NAT-Regeln und die permits für eingehende Dienste alle auf dem äußeren Interface. So weit vorne wie möglich ...
Macht auch jedes mir bekannte kommerzielle Produkt so ...

[lfirewall1243]

Kannst Du das mit dem WAN Interface mal erklären? Ich verwende OPNsense nicht als Firewall sondern nur für VPN-Tunnel und Dienste wie DHCP. Aber ich setze seit 30 Jahren Firewalls auf und die haben natürlich das globale deny all, die NAT-Regeln und die permits für eingehende Dienste alle auf dem äußeren Interface. So weit vorne wie möglich ...
Macht auch jedes mir bekannte kommerzielle Produkt so ...

Was soll man da erklären?

Alles was nicht erlaubt ist wird abgelehnt => mehr Sicherheit

[JeGr]

> Alles was nicht erlaubt ist wird abgelehnt => mehr Sicherheit

Genau :)

> Kannst Du das mit dem WAN Interface mal erklären

Da gibbet ja nix zu erklären, das hat @chemlud schon richtig gesagt. Der OP wollte eine "Basisanleitung" damit man quasi nix falsch macht. Und #1 bad ideas bei neuen Firewall Installs ist immer "Oh ich komme nicht weiter und das klappt nicht, ich mach mal X und Y auf WAN auf und schau dann" - und dann vergessen dass es noch auf ist. Per default muss auf WAN NICHTS offen sein, wenn man selbst keine Dienste anbietet. Punkt. Wenn das LAN nicht geht hat das nichts mit fehlenden Regeln auf dem WAN zu tun, sieht man aber immer wieder, dass dann dort geschraubt wird.

Daher völlig richtig, das so zu schreiben - er hats ja sogar mit "außer du weißt genau was und warum du das tust" ergänzt. Wenn ich mich von extern per VPN verbinden will muss ich WAN aufmachen. Jup. Aber dann weiß ich das und tu es aktiv. :)

>  Ich verwende OPNsense nicht als Firewall sondern nur für VPN-Tunnel und Dienste wie DHCP.

Oh das find ich lustig. Warum das? Also warum nutzt man nur für VPN und gerade sowas wie DHCP/DNS unbedingt ne full-grown Firewall Appliance statt minimalistisch einfach nur die beiden Dienste aufzusetzen (je nachdem was/wo mans braucht)? Gewachsen? Oder wegen UI? :)

Grüße
\jens

[Patrick M. Hausen]

Also ...

Meinen Uplink betreibt eine Fritzbox. Telekom Business-Anschluss mit einer festen IPv4 und einem /56 IPv6. Das macht die gut. Was sie nicht gut macht, sind:

• VPN - IPSec grauenhaft, kein OpenVPN, kein Wireguard
• DHCP - keine Domain einstellbar, Zuordnung von festen Leases unintuitiv und intransparent
• DNS - der Rebind-Schutz ist buggy, bei IPv6

Ich habe hier ein FreeNAS hinter der Fritzbox mit 5 VMs und 6 Jails und jeder Menge öffentlich erreichbarer Dienste:

• 2x Confluence
• Gitea
• Apache Guacamole
• Nextcloud
• Grafana

Zuerst hatte ich daher den DHCP-Server, den Resolver und das OpenVPN in einem weiteren Jail auf dem FreeNAS am laufen. Das nervt dann nur den Rest der Familie, der Netflix gucken will, wenn ich an dem FreeNAS bastele - ich bin da ziemlich engagiert im Test und Debugging, fahre gerade z.B. die TrueNAS 12 BETA ...
Und was, wenn ich remote auf das FreeNAS oder dessen IPMI-Schnittstelle will, weil genau das nicht mehr tut?

Also für DHCP-Server, Resolver - jetzt auch mit Blacklist! - und OpenVPN, mittlerweile WireGuard eine extra Appliance gekauft und Ruhe ist. 300€ für ein APU4D4 sind jede gesparte Arbeitsstunde wert.

Ich bin tatsächlich Netzwerk-Profi - im Sinne, ich tue das beruflich und das schon ganz achön lange - und gucke entsprechend auf die Dinge. 2 versaute Wochenenden oder 300€ für eine Appliance? Keine Frage.

Die eine von den beiden Confluence-Instanzen nutzt der Vorstand eines Vereins, dessen Vorsitzender ich bin. Den ganzen Kram auf irgendwelche Hetzner-Serve auszulagern wäre tatsächlich wesentlich teurer als die einmaligen Kosten für mein Geraffel hier, zumal die Leitung meine Firma bezahlt. Und die 10 Mbit/s upstream sind noch mehr als genug.

Ach ja, als letztes noch - warum OPNsense und nicht ein Raspi oder sowas. Nun, ich habe mit Raspis im Dauerbetrieb echt miese Erfahrungen, das ist und bleib Spielzeug. Ethernet über USB und so'n Schrott. Soekris gibt's nicht mehr und auf so ein PCengines-Ding kann ich eben außer einem nackten FreeBSD auch OPNsense packen. Also weshalb nicht? Hauptsache BSD ... kannst mich ja mal googeln. Ich benutze und "evangelisiere" FreeBSD seit 1993 ...

Liebe Grüße,
Patrick

[Patrick M. Hausen]

Alles was nicht erlaubt ist wird abgelehnt => mehr Sicherheit

Natürlich. Aber auch "deny ip all all" ist eine Regel und die packe ich auf's WAN-Interface ...

Gruß,
Patrick

[lfirewall1243]

Alles was nicht erlaubt ist wird abgelehnt => mehr Sicherheit

Natürlich. Aber auch "deny ip all all" ist eine Regel und die packe ich auf's WAN-Interface ...

Gruß,
Patrick

Aber wozu? Ist doch Default schon drin

[Patrick M. Hausen]

Die Aussage war "niemals Regeln auf WAN" ...

[JeGr]

> Die Aussage war "niemals Regeln auf WAN" ...

Nein, die Aussage war (bezugnehmend auf den OP) KEINE Regeln auf dem WAN (als Startpunkt für eine sichere Basiskonfiguration). Da steht nirgends dass da NIEMALS welche drauf kommen, das bastelst du dir jetzt rein :)

Zudem was lfirewall1243 schreibt. Block any ist bekanntermaßen default. Es gibt keinen sinnvollen Grund dann "nochmal" die gleiche Regel aufs WAN zu packen, wenn sie eh schon gilt. pfSense hat das ggü. dem Cousin OPNsense etwas, dass sich "Separator" nennt, einfache Farbbanner in 4 wählbaren Farben, die man zwischen Regeln einschieben kann. Wer unbedingt bei einer pfSense einen "reminder" braucht, dass auf WAN alles geblockt wird, dem baue ich dann einfach nen roten Trenner ein und schreibe "alles geblockt" rein. Fertig. Vielleicht baut man das in OPNsense auch mal so ähnlich, würde die Sichtbarkeit und Lesbarkeit von längeren Rulesets sicher erhöhen.

> Telekom Business-Anschluss mit einer festen IPv4 und einem /56 IPv6. Das macht die gut.

I agree to disagree ;) Sie macht es aber ob gut - das definieren wir wahrscheinlich anders. Aber ja, sie macht den Verbindungsaufbau gut. Dafür stimme ich den nachfolgenden Punkten zu. Den Rest macht sie eher "meh" oder "solala". VPN, DHCP, DNS, und dann gehts weiter mit Paketfilter etc. Denn sie hat keinen. Keinen ausgehenden z.B.
Allein das wäre für mich schon Grund, nichts direkt an die Fritte zu hängen, weil man wenig Kontrolle über ein- aber noch weniger über ausgehenden Traffic hat.

> Nun, ich habe mit Raspis im Dauerbetrieb echt miese Erfahrungen, das ist und bleib Spielzeug.

Ja es ist so das Leid der Stromversorgung und Co, aber für DNS (PiHole) und Co. sind sie durchaus gut nutzbar. VPN oder was kriegsrelevantes würde ich trotzdem nicht primär drauf packen wollen (zumindest nicht ohne gute Kühlung und Stromversorgung).

> Soekris gibt's nicht mehr

Das ist tatsächlich das Traurigste an deinem ganzen Post. Ich weine meiner 4501/4801 auch noch nach. Hab darüber meine Diplomarbeit für embedded Systeme damals gemacht. Nach der 55er Serie war dann Schicht, schade. :(

> Also weshalb nicht? Hauptsache BSD ... kannst mich ja mal googeln.

Nö muss ich nicht, ich war lediglich neugierig warum nur als DHCP Server.

Und gerade bei dem was du alles auflistest versteh ich nicht, warum du nicht die Sense als vollen Router hinter die FB schaltest. Viel weniger Ärger und Familientrouble und besseres Netzwerken wären mir das wert. Und ich muss nicht mit der FB rumkugeln :) Und gerade mit den vielen Instanzen auf deinem NAS wäre mir Upstream als Gateway die Sense lieber, dann kann man nach außen noch ordentlich HAproxy und ACME machen ohne dass das NAS da involviert sein muss. Aber OK, ich bin da eben mehr involviert in die Sensen als in FreeNAS, vielleicht wäre das deshalb mein Fokus :)

Grüße
\jens

[Patrick M. Hausen]

Die Antwort ist diesmal einfach: dann müsste ich mir statt der beiden Fritz Repeater (Funk) auch noch zusätzliche Accesspoints in die Wohnung stellen, um überall hin zu kommen. Deshalb macht die Fritzbox leider das WLAN. Und die Telefonie macht sie auch, weil wir noch Generation Festnetz sind und gerne ein Telefon zuhause und ein Handy haben.

Wenn die DTAG die Fritzbox mit aktivem SIP im Bridgemodus unterstützen würde, würde ich drüber nachdenken 😉

Liebe Grüße
Patrick

[chemlud]

Hey, das sollte man anpinnen! Selten so ein schönes Beispiel gesehen, wie man an ein Anfänger-How-to  innerhalb kürzester Zeit zerschreiben kann! :-p

[Sunzi]

Ja tatsächlich, echt genial!