OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Einem VLAN nur Zugriff ins Internet erlauben
« previous next »
  • Print
Pages: [1]

Author Topic: Einem VLAN nur Zugriff ins Internet erlauben  (Read 1434 times)

cklahn

  • Newbie
  • *
  • Posts: 42
  • Karma: 0
    • View Profile
Einem VLAN nur Zugriff ins Internet erlauben
« on: May 31, 2024, 10:45:50 am »
Hallo Forum,

wir haben auf einer OPNsense auf dem Internal-LAN ein weiteres VLAN gelegt für einen WLAN-Gästezugriff. Dahinter hängt ein UniFi-Controller mit AP.

Nun wollen wir, daß das Interface "GästeWLAN" so konfigurieren, daß das lediglich nach draußen ins Internet darf, aber nicht in das Internal-LAN.

Habt Ihr einen kurzen Hinweis auf die Rules?

Besten Dank im Voraus.
Logged

Patrick M. Hausen

  • Hero Member
  • *****
  • Posts: 6807
  • Karma: 572
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #1 on: May 31, 2024, 10:52:26 am »
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

cklahn

  • Newbie
  • *
  • Posts: 42
  • Karma: 0
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #2 on: May 31, 2024, 11:08:01 am »
Cool, funktioniert. Hatte das ähnlich, aber lediglich von der Reihenfolge andersrum :-).

Schönes WE...
Logged

Patrick M. Hausen

  • Hero Member
  • *****
  • Posts: 6807
  • Karma: 572
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #3 on: May 31, 2024, 11:10:56 am »
Regeln werden von oben nach unten abgearbeitet, und die erste, die matcht, gilt.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

JeGr

  • Hero Member
  • *****
  • Posts: 1945
  • Karma: 227
  • old man standing
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #4 on: June 06, 2024, 11:56:40 am »
Quote from: Patrick M. Hausen on May 31, 2024, 10:52:26 am
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow

Da würde ich sicherheitshalber ein Alias "RFC1918" machen (mit allen privaten Netzen drin, 10/8, 172.16/12 und 192.168/16) und das als Destination für die 1. Regel setzen. Außerdem ein Reject statt Deny - der ist intern wesentlich schneller und gibt dem Client dadurch schneller zu verstehen "da kommst du nicht rein".

Zudem noch eine 2. Reject Regel zwischen #1 und #2 mit

Source: Gäste-LAN, Destination: This Firewall (self), Action: reject

und eine Regel vor der 1. Regel:

Source: Gäste-LAN, Destination: This Firewall (self), Port: DNS Action: allow

Warum?

Wenn man später dann noch weitere Netze hinzufügt ist nicht aus Versehen dann gleich der Zugriff aus dem Gastnetz möglich (weil man erst noch zusätzliche Deny Regeln machen müsste), sondern man ist schon komplett fertig gegen zusätzliche Netze abgesichert.
Auch: VPN (site2site) werden da gern vergessen, die ja auch meist interne Subnetze haben. Eins eingerichtet und plötzlich hätte der Gast da auch Zugriff drauf ;)
Darum lieber nen privaten-IP-Bereich Reject mit RFC1918 reinhauen - das wirkt erstmal wunder :)

Die anderen beiden Regeln: Erst DNS auf die Firewall erlauben (ganz oben, DNS auf self) - ich gehe mal davon aus, dass das Gästenetz DNS via Firewall bekommt - und dann nach dem Reject von RFC1918 dann ein Reject der Firewall sonst. Andernfalls können Gäste einfach so auf der Firewall rumstöbern und Login/Passwort Ratespiele spielen. Dem Gästenetz darf im Normalfall die Firewall sehr egal sein ;) die haben da keine Erlaubnis drauf. Mit "self"/This Firewall wird zudem bei anliegen einer echte public IP4 dann auch die verboten, damit findige Spezialisten nicht noch über diese an die WebUI kommen - alles schon dagewesen :)

Cheers
\jens
« Last Edit: June 06, 2024, 12:00:54 pm by JeGr »
Logged
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

Patrick M. Hausen

  • Hero Member
  • *****
  • Posts: 6807
  • Karma: 572
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #5 on: June 06, 2024, 09:02:00 pm »
@JeGr ich hab ein wenig vereinfacht  ;)

Ich hab eine Interface Gruppe namens "Restricted" und erlaube DNS, NTP, und dann eben alles außer "Local Networks". "Local Networks" ist nicht notwendigerweise identisch mit RFC 1918.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

tom.goes.open

  • Newbie
  • *
  • Posts: 15
  • Karma: 0
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #6 on: June 07, 2024, 11:16:06 pm »
Die Idee mit der Restricted-Gruppe gefällt mir ganz gut, werde ich so übernehmen. Ich gehe davon, dass damit auch IPv6 abgefrühstückt ist? Wäre bei 10/8, 172.16/12 und 192.168/16 ja nicht der Fall.
Und noch eine Frage, wie ist dann die Reihenfolge der FW-Regel: erst Gruppe und dann einzelnes Interface oder umgekehrt?

Edit: OK, hat sich erledigt nachdem ich die erste Gruppen-Regel angelegt hatte war ersichtlich, dass ich wie üblich IPv4 und 6 auswählen kann und die Regeln an den Anfang gesetzt werden.
« Last Edit: June 07, 2024, 11:29:19 pm by tom.goes.open »
Logged

bimbar

  • Sr. Member
  • ****
  • Posts: 435
  • Karma: 25
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #7 on: June 10, 2024, 01:13:39 pm »
Quote from: Patrick M. Hausen on May 31, 2024, 11:10:56 am
Regeln werden von oben nach unten abgearbeitet, und die erste, die matcht, gilt.

Angenommen, Quick ist gesetzt.
Logged

Adm1n-1337

  • Newbie
  • *
  • Posts: 18
  • Karma: 0
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #8 on: June 13, 2024, 11:11:12 pm »
Quote from: Patrick M. Hausen on May 31, 2024, 10:52:26 am
1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow

Ich benutze nur eine Regel:

Source: Gäste-LAN, Destination: !RFC1918, Action: Pass

Damit ist auch direkt der Zugriff auf die OPNsense geblockt.

Erreiche ich damit nicht das gleiche Ergebnis oder was habe ich übersehen?

« Last Edit: June 13, 2024, 11:14:27 pm by Adm1n-1337 »
Logged

Patrick M. Hausen

  • Hero Member
  • *****
  • Posts: 6807
  • Karma: 572
    • View Profile
Re: Einem VLAN nur Zugriff ins Internet erlauben
« Reply #9 on: June 13, 2024, 11:18:19 pm »
Quote from: Adm1n-1337 on June 13, 2024, 11:11:12 pm
Erreiche ich damit nicht das gleiche Ergebnis oder was habe ich übersehen?
Nein, hast du nicht. Was auch immer für dich am übersichtlichsten ist. Ich komme eher vom Infrastruktur- und Hosting-Provider und was bei mir auf LAN, OPT1, OPT2, ... ist, ist nicht immer RFC 1918. Und dann ist da ja noch IPv6 - wir sind durch unser ganzes Netz hindurch Dual-Stack.

Suum cuique  :)
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Einem VLAN nur Zugriff ins Internet erlauben
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2