Firewall Regel erstellen LAN IP und LAN Virtual IPs

Started by MrFriday, January 14, 2025, 05:03:53 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 14, 2025, 05:03:53 PM
Abend,

Ich bin ein Anfänger im OPNSense Bereich und deshalb habe ich Verständnis Probleme bei meinem Thema Rules.
Folgendes ist eingerichtet: auf dem LAN ist XXX.XXX.9.0/24 eingerichtet und unter Virtual IPs ist XXX.XXX.20.0/23 Interface LAN eingerichtet. Kein VLAN!

Mein Problem ist das ich Verbindungstimeout bekomme, wenn die XXX.XXX.20.14 sich auf den Dienst auf XXX.XXX.9.5 verbinden will.
In dem Live View sehe ich ein Block von IP .9.5 nach "out" IP .20.14 (Siehe Screenshoot in Anlage)

Wie wird die Regel erstellt wo ich den Traffic von XXX.XXX.9.0/24 auf XXX.XXX.20.0/23 erlaube?
January 14, 2025, 06:54:40 PM #1
Hallo!

Quote from: MrFriday on January 14, 2025, 05:03:53 PMFolgendes ist eingerichtet: auf dem LAN ist XXX.XXX.9.0/24 eingerichtet und unter Virtual IPs ist XXX.XXX.20.0/23 Interface LAN eingerichtet. Kein VLAN!
Mehrere Layer 2 Netze auf demselben Interface ist grundsätzlich kein ideales Setup. Das bietet keine sichere Trennung und kann immer wieder zu Problemen führen.

BTW: Es gibt keinen Grund, private Netzwerkadressen zu verschleiern. Es kann sie ohnehin niemand außerhalb deines LANs erreichen. Das führt nur zu Verwirrung.

Quote from: MrFriday on January 14, 2025, 05:03:53 PMMein Problem ist das ich Verbindungstimeout bekomme, wenn die XXX.XXX.20.14 sich auf den Dienst auf XXX.XXX.9.5 verbinden will.
In dem Live View sehe ich ein Block von IP .9.5 nach "out" IP .20.14 (Siehe Screenshoot in Anlage)
Das sieht nach asymmetrischem Routing aus.
Klicke auf das "i" Symbol rechts im Log und suche nach dem TCP Flag.
Wenn das nicht SYN ist, handelt es sich um asymmetrisches Routing.

Grund dafür könnte bspw. eine falsche Netzwerkkonfiguration auf einem der beteiligten Geräte sein. Überprüfe dies in diesem Fall.

Quote from: MrFriday on January 14, 2025, 05:03:53 PMWie wird die Regel erstellt wo ich den Traffic von XXX.XXX.9.0/24 auf XXX.XXX.20.0/23 erlaube?
Im Grunde ganz normal, am LAN der Quelle den Zugriff auf das Ziel erlauben.

Aber du möchtest den Traffic wohl umgekehrt erlauben:
Quelle: XXX.XXX.20.0/23
Ziel: XXX.XXX.9.0/24

Verstehe, du meinst, was du im Log siehst. Das sind die Antwortpaket. Die brauchen keine eigene Regel, wenn das Routing im Netzwerk ordentlich funktioniert.

Grüße
January 15, 2025, 10:56:06 AM #2
Hi,

Danke für die ausführliche Erklärung. Eine weitere Frage habe ich noch. Unter Firewall > Rules > LAN > Default Allow LAN to any rule habe ich die Einstellung State Type auf none gesetzt. Gibt es da bedenken diese Einstellung zu nehmen?

January 15, 2025, 12:07:32 PM #3
Kommt drauf an, wie gut du dein Netzwerk absichern möchtest.

Die Einstellung schaltet eben die Zustandskontrolle von erlaubten Verbindungen aus. Damit wäre es möglich, dass ein anderes Gerät ein Paket in die Verbindung einschleust.

Nun, wenn du in deinem internen Netzwerk keine Bösewichte erwartest, ist die Gefahr dadurch nicht groß.

Das ursächliche Problem ist aber ein asymmetrisches Routing, wie oben erwähnt. Ich würde eher diese Ursache angehen, anstatt den Effekt zu umschiffen.
Aber ich lasse auch lieber für alle meine Hausbewohner einen Schlüssel für die Eingangstüre anfertigen, anstatt einen unterm Blumentopf zu legen.
Print
Go Up Pages1
User actions