Einem VLAN nur Zugriff ins Internet erlauben

Started by cklahn, May 31, 2024, 10:45:50 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 31, 2024, 10:45:50 AM
Hallo Forum,

wir haben auf einer OPNsense auf dem Internal-LAN ein weiteres VLAN gelegt für einen WLAN-Gästezugriff. Dahinter hängt ein UniFi-Controller mit AP.

Nun wollen wir, daß das Interface "GästeWLAN" so konfigurieren, daß das lediglich nach draußen ins Internet darf, aber nicht in das Internal-LAN.

Habt Ihr einen kurzen Hinweis auf die Rules?

Besten Dank im Voraus.
May 31, 2024, 10:52:26 AM #1
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 31, 2024, 11:08:01 AM #2
Cool, funktioniert. Hatte das ähnlich, aber lediglich von der Reihenfolge andersrum :-).

Schönes WE...
May 31, 2024, 11:10:56 AM #3
Regeln werden von oben nach unten abgearbeitet, und die erste, die matcht, gilt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 06, 2024, 11:56:40 AM #4 Last Edit: June 06, 2024, 12:00:54 PM by JeGr
Quote from: Patrick M. Hausen on May 31, 2024, 10:52:26 AM
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow

Da würde ich sicherheitshalber ein Alias "RFC1918" machen (mit allen privaten Netzen drin, 10/8, 172.16/12 und 192.168/16) und das als Destination für die 1. Regel setzen. Außerdem ein Reject statt Deny - der ist intern wesentlich schneller und gibt dem Client dadurch schneller zu verstehen "da kommst du nicht rein".

Zudem noch eine 2. Reject Regel zwischen #1 und #2 mit

Source: Gäste-LAN, Destination: This Firewall (self), Action: reject

und eine Regel vor der 1. Regel:

Source: Gäste-LAN, Destination: This Firewall (self), Port: DNS Action: allow

Warum?

Wenn man später dann noch weitere Netze hinzufügt ist nicht aus Versehen dann gleich der Zugriff aus dem Gastnetz möglich (weil man erst noch zusätzliche Deny Regeln machen müsste), sondern man ist schon komplett fertig gegen zusätzliche Netze abgesichert.
Auch: VPN (site2site) werden da gern vergessen, die ja auch meist interne Subnetze haben. Eins eingerichtet und plötzlich hätte der Gast da auch Zugriff drauf ;)
Darum lieber nen privaten-IP-Bereich Reject mit RFC1918 reinhauen - das wirkt erstmal wunder :)

Die anderen beiden Regeln: Erst DNS auf die Firewall erlauben (ganz oben, DNS auf self) - ich gehe mal davon aus, dass das Gästenetz DNS via Firewall bekommt - und dann nach dem Reject von RFC1918 dann ein Reject der Firewall sonst. Andernfalls können Gäste einfach so auf der Firewall rumstöbern und Login/Passwort Ratespiele spielen. Dem Gästenetz darf im Normalfall die Firewall sehr egal sein ;) die haben da keine Erlaubnis drauf. Mit "self"/This Firewall wird zudem bei anliegen einer echte public IP4 dann auch die verboten, damit findige Spezialisten nicht noch über diese an die WebUI kommen - alles schon dagewesen :)

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 06, 2024, 09:02:00 PM #5
@JeGr ich hab ein wenig vereinfacht  ;)

Ich hab eine Interface Gruppe namens "Restricted" und erlaube DNS, NTP, und dann eben alles außer "Local Networks". "Local Networks" ist nicht notwendigerweise identisch mit RFC 1918.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 07, 2024, 11:16:06 PM #6 Last Edit: June 07, 2024, 11:29:19 PM by tom.goes.open
Die Idee mit der Restricted-Gruppe gefällt mir ganz gut, werde ich so übernehmen. Ich gehe davon, dass damit auch IPv6 abgefrühstückt ist? Wäre bei 10/8, 172.16/12 und 192.168/16 ja nicht der Fall.
Und noch eine Frage, wie ist dann die Reihenfolge der FW-Regel: erst Gruppe und dann einzelnes Interface oder umgekehrt?

Edit: OK, hat sich erledigt nachdem ich die erste Gruppen-Regel angelegt hatte war ersichtlich, dass ich wie üblich IPv4 und 6 auswählen kann und die Regeln an den Anfang gesetzt werden.
June 10, 2024, 01:13:39 PM #7
Quote from: Patrick M. Hausen on May 31, 2024, 11:10:56 AM
Regeln werden von oben nach unten abgearbeitet, und die erste, die matcht, gilt.

Angenommen, Quick ist gesetzt.
June 13, 2024, 11:11:12 PM #8 Last Edit: June 13, 2024, 11:14:27 PM by Adm1n-1337
Quote from: Patrick M. Hausen on May 31, 2024, 10:52:26 AM
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow

Ich benutze nur eine Regel:

Source: Gäste-LAN, Destination: !RFC1918, Action: Pass

Damit ist auch direkt der Zugriff auf die OPNsense geblockt.

Erreiche ich damit nicht das gleiche Ergebnis oder was habe ich übersehen?

June 13, 2024, 11:18:19 PM #9
Quote from: Adm1n-1337 on June 13, 2024, 11:11:12 PM
Erreiche ich damit nicht das gleiche Ergebnis oder was habe ich übersehen?
Nein, hast du nicht. Was auch immer für dich am übersichtlichsten ist. Ich komme eher vom Infrastruktur- und Hosting-Provider und was bei mir auf LAN, OPT1, OPT2, ... ist, ist nicht immer RFC 1918. Und dann ist da ja noch IPv6 - wir sind durch unser ganzes Netz hindurch Dual-Stack.

Suum cuique  :)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions