Externen Zugriff auf OPNsense erlauben: Rule oder Portforward

[thogru]

Moin, moin,

Ich möchte den Zugriff auf meine OPNsense erlauben. Dafür habe ich zwei Möglichkeiten gefunden:

• Rule:
  Einfach eine Regel anlegen und fertig.
  Vorteile:
  + kurz und bündig
  + einfach verständlich
  + Das Logging ist einfach umzuschalten
  
• Portforwarding:
  Ein ähnliche Regel als Weiterleitung funktioniert ebenfalls.
  Vorteile:
  + Die Destination kann über Aliases einfach angepasst werden
  

Welche Umsetzung würdet Ihr empfehlen? Belasten bei Umsetzungen die OPNsense gleich stark? Welcher Ansatz ist besser wartbar, im Allgemeinen verständlich?

Gruß
Thomas

[superwinni2]

Empfehlen: Nichts von beiden... Ich würde dies via VPN lösen. Sicher ist sicher.

Alternative: Eventuell willst du ja sowas "nur" als Notfallzugang von Zuhause oder bestimmten IP Adressen... Dann könntest du z.B. Zuhause eine DynDNS machen und diesen entsprechend in der OPNsense als Source einpflegen. Wäre für mich noch halbwegs vertretbar. Im Notfall kann man diesen Eintrag auch kurzerhand auf eine Hotel IP Adresse ändern oder ähnliches (falls man unterwegs wäre.)

Wenn es unbedingt sein muss, würde ich nur die entsprechende WAN Regel machen. Du brauchst ja kein NAT für die Funktion.
Wenn du verschiedene Destinations ansprechen möchtest jene NICHT die OPNsense ist, dann kommst du so oder so um ein Portforwarding nicht herum.

Gesendet von meinem OnePlus 8t mit Tapatalk

[thogru]

Hi superwinni2,

Danke für Deine Antwort.

Der ssh-Zugang ist so konfiguriert, dass nur Accounts mit Zertifikat "reinkommen". Ich gehe davon aus, dass der ssh Daemon so sicher ist, dass dies kein Problem ist.

Bei meiner Frage ging es aber nicht primär um die Zugriffssicherheit meiner OPNsense sondern um die Frage, wie ich denn einen Zugriff von außen in der Firewall ausgestalte.

Bei Diensten innerhalb meiner DMZ habe ich keine Wahl, da muss ich das Portforwarding nutzen.

Aktuell versuche ich mein VoIP zum laufen zu bekommen. Da versuche ich es mit einem Portforwarding auf meine Fritz!Box und alternativ mit dem siproxd auf der OPNsense. Während ich teste muss ich das Forwarding hin- und herschalten. Da kann ich die Regeln einfach aktivieren und deaktivieren.

Mir ist einfach aufgefallen, dass ich den Zugriff vom Internet auf Dienste,die auf meiner OPNsense laufen (in diesem Beispiel ssh), über verschiedene Implementierungen aktivieren kann.

Welche ist das die beste?

Gruß
Thomas

[micneu]

Leider habe ich noch nicht verstanden was voip mit dem externen Zugriff deiner Sense zu tun hat. Und das währe keine gute Idee.
Wir haben so viele Ansätze im Forum zu dem Thema voip, da ist doch bestimmt was für dich bei, einfach die Forum suche nutzen.
Bei mir hatte ich die fritzbox nur als Telefonanlage laufen und ich habe nur 2 outbound Regeln angelegt (ist irgend wo im Forum zu finden)


Gesendet von iPhone mit Tapatalk Pro

[thogru]

Also...

Mein VoIP funktioniert nicht und langsam bin ich mit meinem Latein am Ende (anderes Thema). Während des Testens (von VoIP) muss ich jetzt den SIP-Port (und wahrscheinlich RTP-Ports) von siproxd direkt zur Fritz!Box hin und her schalten, je nach dem was ich testen muss/will.

Da stellte sich mir die Frage, ob es sinnvoll ist, alle externen Zugriffe (auch die, die direkt zur OPNsense laufen) über ein Portforwarding zu konfigurieren, damit alles an "einer Stelle" ist.

Deswegen meine Frage: Ist sinnvoll externe Zugriffe auf die OPNsense über Portforwarding zu ermöglichen oder ist es besser solche Zugriffe über ein Rule zu ermöglichen.

Ist das eine Geschmacksfrage (weil beides von der Hardware gleich gut verarbeitet wird) oder gibt es trifftige Gründe Zugriffe auf die OPNsense per Rule nicht per Portforward zu konfigurieren?

Gruß
Thomas