SSH Zugriff nur im LAN

[ziegler]

Eine eigentlich "peinliche" Frage, aber ich bin mir bei der Einstellung leider nicht sicher.

Ich möchte SSH-Zugriff auf die opnsense erlauben, aber nur im LAN aus.
Also aus dem Internet soll die opnsense nicht über ssh erreichbar sein.

Ist es dann so richtig das ich bei "Hörende Schnittstellen" nicht ALLE (empfohlen) auswähle sondern nur LAN?

Weil das empfohlen bei ALLE irritiert mich irgendwie.

[chemlud]

In meiner opensense steht bei den Interfaces für ssh

Only accept connections from the selected interfaces. Leave empty to listen globally. Use with care.

[Patrick M. Hausen]

Ist es dann so richtig das ich bei "Hörende Schnittstellen" nicht ALLE (empfohlen) auswähle sondern nur LAN?
Weil das empfohlen bei ALLE irritiert mich irgendwie.

Das ist im Prinzip richtig. Allerdings ist nicht nur relevant, auf welchem Interface der SSH-Dienst aktiv ist - das ist die Einstellung, über die wir gerade reden - sondern auch noch, welche Firewall-Regeln auf dem jeweiligen Interface aktiv sind.

Und der Lieferzustand der OPNsense ist "LAN - allow all", "WAN - deny all". Es ist also in dem Zustand schon kein Zugriff per SSH von außen möglich. Die zusätzliche Einstellung in der Konfiguration des SSH-Servers birgt die Gefahr, dass man sich aussperrt, deshalb ist "empfohlen", das einfach so zu lassen. Die Firewall kriegt das dann schon hin.

Gruß
Patrick

[tiermutter]

"Aussperren" ist das Stichwort, das habe ich Samstagnacht nämlich versehentlich gemacht als ich das gesamte LAN Interface deaktiviert habe statt nur IPv6 auf dem Interface.
Leider fehlte mir eine passende Regel auf dem WAN, die mich mit einer entsprechenden IP hätte reingelassen, meine VGA Konsole reagierte nicht (Reaktion stoppte bei "Booting").
Also musste ich das letzte Backupimage einspielen... Hätte einfacher laufen können, zukünftig halte ich mir die Option frei, SSH über das WAN Interface verwenden zu können.

[fabian]

Der Grund, warum das nicht empfohlen ist:

Der SSH-Dienst (oder jeder andere auch) bindet sich an einen Port und ist da erreichbar. Sollte aber die Kombination IP-Adresse + Port nicht verfügbar sein, verweigern viele Dienste den dienst. Das bedeutet dann zum Beispiel wenn du WAN selektierst und dein WAN ist zu einem schlechtem Zeitpunkt down, dann kann es sein das dein SSH-Dienst nicht hoch kommt oder wenn es blöd her geht, wegen einem Netzwerkausfall abstürzt.

Darum ist es in der Regel vernünftiger, an was Stabiles zu binden, also entweder an alles (0.0.0.0; :: ) oder an ein loopback interface. In beiden Fällen braucht man halt ne FW-Rule.

[chemlud]

Der Grund, warum das nicht empfohlen ist:

Der SSH-Dienst (oder jeder andere auch) bindet sich an einen Port und ist da erreichbar. Sollte aber die Kombination IP-Adresse + Port nicht verfügbar sein, verweigern viele Dienste den dienst. Das bedeutet dann zum Beispiel wenn du WAN selektierst und dein WAN ist zu einem schlechtem Zeitpunkt down, dann kann es sein das dein SSH-Dienst nicht hoch kommt oder wenn es blöd her geht, wegen einem Netzwerkausfall abstürzt.

Darum ist es in der Regel vernünftiger, an was Stabiles zu binden, also entweder an alles (0.0.0.0; :: ) oder an ein loopback interface. In beiden Fällen braucht man halt ne FW-Rule.

Danke für die Erklärung, ist eingängig und nachvollziehbar. :-)

[ziegler]

Ja, auch von mir vielen Dank.

Ich habe noch extra eine Gruppe + User extra für SSH angelegt.
Jetzt verstehe ich das Prinzip dahinter,

[ziegler]

Ich muss noch mal leider nachfragen, sorry.

Ich habe jetzt einen user "opnssh" im webinterface der opnsense erstellt. Diesen will ich für den ssh Zugriff verwenden.
Als Anmeldeshell habe ich diesem "/bin/sh" zugewiesen.

Unter Gruppen habe ich eine Gruppe "ssh" erstellt und den Benutzer "opnssh" dort zugewiesen.

Der SSH zugriff funktioniert so auch mit:

ssh opnssh@<ip-opnsense>

Jetzt bin ich eingelogt und will root werden, also gebe ich "sudo su" ein und dann das Passwort vom User opnssh.

Dann kommt die Meldung: opnssh is not in the sudoers file.  This incident will be reported.

Meine Frage:

Kann ich das in der WEB-GUI einstellen oder muss ich mich erst als root per ssh verbinden um dann die sudoers anzupassen?

[Patrick M. Hausen]

In der Web UI unter System > Settings > Administration is unten ein Abschnitt für sudo. Da kannst Du einstellen, ob das generell erlaubt ist, ob es nur Mitgliedern der Gruppe wheel erlaubt ist, oder Mitgliedern der Gruppen wheel und admin.

[ziegler]

Vielen Dank, den Punkt hatte ich übersehen.

Jetzt klappt es wie gewollt