Author Topic: Hetzner Firewall und OPNsense (Read 2547 times)

phil1710 · « **on:** September 18, 2021, 03:46:08 am »

Hallo zusammen,
ich habe ein DNS Problem mit meiner OPNsense im zusammenhang mit der Hetzner Firewall.
Wenn ich die Regel 32768-65535 TCP/UDP eintrage, ist meine DNS Auflösung in der VMs hinter der OPNsense extrem langsam, bzw löst manche Internetseiten garnicht auf.
Erweiter ich den Portbereich auf 10000-65535, funktioniert die Auflösung schon deutlich besser.
Gibt es irgend eine möglichkeit die OPNsense so anzupassen, das sie mit dem kleineren Portbereich
(32768-65535) klar kommt?

Schonmal vielen Dank für eure Antworten,
grüße Philip

Patrick M. Hausen · « **Reply #1 on:** September 18, 2021, 06:50:26 am »

Warum willst Du den Bereich für den Source Port einschränken? Normal ist 1024-65535.

fabian · « **Reply #2 on:** September 18, 2021, 07:58:44 am »

This is possible via a sysctl on your servers, however I would recommend to use the RFC compliant range mentioned in the previous posting.

https://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap6sec70.html

phil1710 · « **Reply #3 on:** September 18, 2021, 12:12:32 pm »

Ich möchte so viele Ports wie möglich vor den VMs sperren, auch schon vor der OPNsense
. Es hängt neben der OPNsense noch ein paar andere VMs am Netz. Das der DNS nicht funktioniert muss an der OPNsense liegen. Die VMs die direkt am Netz hängen haben keine Probleme mit der Namensauflösung.

Gibt es keine Lösung das irgendwie an der Sense anzupassen?

Patrick M. Hausen · « **Reply #4 on:** September 18, 2021, 01:06:21 pm »

Auch Deine anderen VMs benutzen Ports von 1024 bis 65535 als Source für ausgehende Verbindungen.
In welcher Richtung willst Du denn was genau sperren?

phil1710 · « **Reply #5 on:** September 18, 2021, 02:13:50 pm »

Ahh sorry,
Ausgehende Vebrindungen sind aktuell so weit noch alle offen.
Es geht mit hier jetzt grade nur um eingehend.
Hätte ich eventuell besser formulieren sollen

JeGr · « **Reply #6 on:** September 18, 2021, 02:53:32 pm »

Sorry dann verstehe ich deine Argumentation aber nicht. Du willst eingehend VOR deiner Firewall nochmal mit einer anderen Firewall sperren, sperrst aktuell zu viel und hast deshalb Probleme.

Lösung: Lass den Hetzner Filter davor weg, dafür HAST du eine richtige Firewall (OPNsense) dahinter mit der du voll filtern kannst. Was soll es also das vornedran wegzufiltern außer dass alles komplizierter wird wenn man Fehler sucht?

Ansonsten verstehe ich das Problem von DNS Seiten nicht. Hetzner hat in der UI zwei Filtermöglichkeiten. Ein- und ausgehend. Wenn du ausgehend offen hast (was du solltest), dann ist nur eingehend ein "Problem". Du sprichst aber mit VMs nach draußen (wegen DNS?), sollte also kein Thema sein, was du da eingrenzt. Verstehe also die Problematik gerade nicht.

Außer du sprichst von anderen Hetzner Firewalls als dem Firewall Cloud UI. Denn das ist AFAIK Stateful und hat die Probleme nicht.

Author Topic: Hetzner Firewall und OPNsense (Read 2547 times)

phil1710

Hetzner Firewall und OPNsense

Patrick M. Hausen

Re: Hetzner Firewall und OPNsense

fabian

Re: Hetzner Firewall und OPNsense

phil1710

Re: Hetzner Firewall und OPNsense

Patrick M. Hausen

Re: Hetzner Firewall und OPNsense

phil1710

Re: Hetzner Firewall und OPNsense

JeGr

Re: Hetzner Firewall und OPNsense