SSH Zugriff nur im LAN

Started by ziegler, December 13, 2021, 07:51:30 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 13, 2021, 07:51:30 PM
Eine eigentlich "peinliche" Frage, aber ich bin mir bei der Einstellung leider nicht sicher.

Ich möchte SSH-Zugriff auf die opnsense erlauben, aber nur im LAN aus.
Also aus dem Internet soll die opnsense nicht über ssh erreichbar sein.

Ist es dann so richtig das ich bei "Hörende Schnittstellen" nicht ALLE (empfohlen) auswähle sondern nur LAN?

Weil das empfohlen bei ALLE irritiert mich irgendwie.

December 13, 2021, 08:11:28 PM #1
In meiner opensense steht bei den Interfaces für ssh

QuoteOnly accept connections from the selected interfaces. Leave empty to listen globally. Use with care.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
December 13, 2021, 09:53:05 PM #2 Last Edit: December 13, 2021, 10:30:53 PM by pmhausen
Quote from: ziegler on December 13, 2021, 07:51:30 PM
Ist es dann so richtig das ich bei "Hörende Schnittstellen" nicht ALLE (empfohlen) auswähle sondern nur LAN?
Weil das empfohlen bei ALLE irritiert mich irgendwie.
Das ist im Prinzip richtig. Allerdings ist nicht nur relevant, auf welchem Interface der SSH-Dienst aktiv ist - das ist die Einstellung, über die wir gerade reden - sondern auch noch, welche Firewall-Regeln auf dem jeweiligen Interface aktiv sind.

Und der Lieferzustand der OPNsense ist "LAN - allow all", "WAN - deny all". Es ist also in dem Zustand schon kein Zugriff per SSH von außen möglich. Die zusätzliche Einstellung in der Konfiguration des SSH-Servers birgt die Gefahr, dass man sich aussperrt, deshalb ist "empfohlen", das einfach so zu lassen. Die Firewall kriegt das dann schon hin.

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 13, 2021, 10:02:45 PM #3
"Aussperren" ist das Stichwort, das habe ich Samstagnacht nämlich versehentlich gemacht als ich das gesamte LAN Interface deaktiviert habe statt nur IPv6 auf dem Interface.
Leider fehlte mir eine passende Regel auf dem WAN, die mich mit einer entsprechenden IP hätte reingelassen, meine VGA Konsole reagierte nicht (Reaktion stoppte bei "Booting").
Also musste ich das letzte Backupimage einspielen... Hätte einfacher laufen können, zukünftig halte ich mir die Option frei, SSH über das WAN Interface verwenden zu können.
i am not an expert... just trying to help...
December 14, 2021, 07:21:22 PM #4
Der Grund, warum das nicht empfohlen ist:

Der SSH-Dienst (oder jeder andere auch) bindet sich an einen Port und ist da erreichbar. Sollte aber die Kombination IP-Adresse + Port nicht verfügbar sein, verweigern viele Dienste den dienst. Das bedeutet dann zum Beispiel wenn du WAN selektierst und dein WAN ist zu einem schlechtem Zeitpunkt down, dann kann es sein das dein SSH-Dienst nicht hoch kommt oder wenn es blöd her geht, wegen einem Netzwerkausfall abstürzt.

Darum ist es in der Regel vernünftiger, an was Stabiles zu binden, also entweder an alles (0.0.0.0; :: ) oder an ein loopback interface. In beiden Fällen braucht man halt ne FW-Rule.
December 14, 2021, 08:33:02 PM #5
Quote from: fabian on December 14, 2021, 07:21:22 PM
Der Grund, warum das nicht empfohlen ist:

Der SSH-Dienst (oder jeder andere auch) bindet sich an einen Port und ist da erreichbar. Sollte aber die Kombination IP-Adresse + Port nicht verfügbar sein, verweigern viele Dienste den dienst. Das bedeutet dann zum Beispiel wenn du WAN selektierst und dein WAN ist zu einem schlechtem Zeitpunkt down, dann kann es sein das dein SSH-Dienst nicht hoch kommt oder wenn es blöd her geht, wegen einem Netzwerkausfall abstürzt.

Darum ist es in der Regel vernünftiger, an was Stabiles zu binden, also entweder an alles (0.0.0.0; :: ) oder an ein loopback interface. In beiden Fällen braucht man halt ne FW-Rule.

Danke für die Erklärung, ist eingängig und nachvollziehbar. :-)
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
December 15, 2021, 10:44:38 AM #6
Ja, auch von mir vielen Dank.

Ich habe noch extra eine Gruppe + User extra für SSH angelegt.
Jetzt verstehe ich das Prinzip dahinter,
December 16, 2021, 07:15:14 PM #7
Ich muss noch mal leider nachfragen, sorry.

Ich habe jetzt einen user "opnssh" im webinterface der opnsense erstellt. Diesen will ich für den ssh Zugriff verwenden.
Als Anmeldeshell habe ich diesem "/bin/sh" zugewiesen.

Unter Gruppen habe ich eine Gruppe "ssh" erstellt und den Benutzer "opnssh" dort zugewiesen.

Der SSH zugriff funktioniert so auch mit:

ssh opnssh@<ip-opnsense>

Jetzt bin ich eingelogt und will root werden, also gebe ich "sudo su" ein und dann das Passwort vom User opnssh.

Dann kommt die Meldung: opnssh is not in the sudoers file.  This incident will be reported.

Meine Frage:

Kann ich das in der WEB-GUI einstellen oder muss ich mich erst als root per ssh verbinden um dann die sudoers anzupassen?

December 16, 2021, 07:20:53 PM #8
In der Web UI unter System > Settings > Administration is unten ein Abschnitt für sudo. Da kannst Du einstellen, ob das generell erlaubt ist, ob es nur Mitgliedern der Gruppe wheel erlaubt ist, oder Mitgliedern der Gruppen wheel und admin.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 16, 2021, 07:52:35 PM #9
Vielen Dank, den Punkt hatte ich übersehen.

Jetzt klappt es wie gewollt  :)
Print
Go Up Pages1
User actions