Basic Rules

Started by fw115, July 28, 2025, 10:59:34 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 28, 2025, 10:59:34 AM
Moin zusammen,

ich frage mich langsam ob ich zu dumm bin für die Opnsense.

Nachdem das Openvpn Problem ja nun gelöst ist, hatte ich gedacht:

Machste mal eben ein paar Rules für SSH und co und ran geht es an die Serverconfig zum testen.

Hmm oder auch nicht.

Hier wieder das Problem mit der Unübersichtlichkeit der OPNsense und meiner Unwissenheit ob deren Funktion.

In Erwartung  SSH freizugeben, habe ich folgende Rule erstellt:

DMZ:

interface DMZ

direction in
TCP ipv4
proto tcp
source any
source port 22
dest 195.1.2.3/29
gateway VPN

funktioniert nicht

OK, dann gateway auf default.
funktioniert auch nicht

host auf 195.1.2.3/32 geändert
funktioniert auch nicht

dann in VPN dies rule erstellt
funktioniert auch nicht

So langsam frage ich mich ob ich zu doof bin......


July 28, 2025, 11:08:32 AM #1
195.1.2.3 scheint eine WAN-IP zu sein... Wenn Du zwei Netzwerke mit OpenVPN verbunden hast, dann handelt es sich doch vermutlich um zwei (hoffentlich) disjunkte RFC1918-Netze, z.B. 192.168.1.0/24 und 192.168.2.0/24.

Wenn Deine Firewall-Regeln das erlauben, ist doch dann der Zugriff von IPs gegenseitig möglich, da braucht es jenseits der Regeln, die für OpenVPN überhaupt nötig sind, doch keine Spezialregel für Port 22 (und schon gar nicht auf dem WAN). Natürlich könnte man beim gegenseitigen Zugriff auch Einschränkungen machen, das sind dann aber welche, die sich auf die LAN-IPs beziehen.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
July 28, 2025, 11:22:07 AM #2
Quote from: meyergru on July 28, 2025, 11:08:32 AM195.1.2.3 scheint eine WAN-IP zu sein... Wenn Du zwei Netzwerke mit OpenVPN verbunden hast, dann handelt es sich doch vermutlich um zwei (hoffentlich) disjunkte RFC1918-Netze, z.B. 192.168.1.0/24 und 192.168.2.0/24.

Wenn Deine Firewall-Regeln das erlauben, ist doch dann der Zugriff von IPs gegenseitig möglich, da braucht es jenseits der Regeln, die für OpenVPN überhaupt nötig sind, doch keine Spezialregel für Port 22 (und schon gar nicht auf dem WAN). Natürlich könnte man beim gegenseitigen Zugriff auch Einschränkungen machen, das sind dann aber welche, die sich auf die LAN-IPs beziehen.

Nee , dass is hier etwas anders:

LAN > 192.168.1.0/24
WAN > Vlan 132 32.xx.xx./24 mit 1 Nutzbaren festen IP
DMZ > 192.168.100.0/24
OpenVPN > 213.240.xx.xx./32 auf das das 195.8.xx.xx/29 geroutet ist

SSH, wie dann auch https, mail usw soll dann from any auf eben eine adresse aus dem /29 erlaubt sein.
July 28, 2025, 11:37:37 AM #3
Du willst doch von außen, also über den VPN-Tunnel per SSH auf deine Server zugreifen, richtig? Also ist die Regel:

Interface: OpenVPN
Direction: in
Source: any
Destination: DMZ net
Destination port: SSH/22
Action: allow

Die Regeln kommen immer dort hin, wo die Verbindung initial aufschlägt. Es sind ja nicht die Server, die die Verbindung aufbauen.

Und "in" und "out" sind aus der Sicht der OPNsense. Ein Paket für eine SSH-Verbindung kommt durch den Tunnel über deinen VPN-Provider zur OPNsense rein - deshalb "in".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 28, 2025, 11:46:40 AM #4
Hallo Patrick,

mama mia, ob ich das jemals begreifen werde ?

Das war es. Also müssen meine Rules in OPENvpn erstellt werden.

Das mit den ganzen Interfaces ist etwas was ich noch nicht hin bekomme. Das war bei der anderen Firewall deutlich einfacher und übersichtlicher.
So wie es aussieht bin ich ja grundsätzlich auf dem richtigem Weg, greif dann aber vollkommen ins Klo, weil ich meine Rules mal wieder im falschem Interface erstelle und mich wundere warum es nicht geht.

July 28, 2025, 11:55:23 AM #5
Immer da, wo die Pakete ankommen. Ist aber doch bei einer Cisco PIX/ASA oder einer Sidewinder auch nicht anders. Was zum WAN oder zum OpenVPN rein kommt, gehört zum WAN oder zum OpenVPN.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 28, 2025, 02:04:24 PM #6 Last Edit: July 28, 2025, 02:25:57 PM by fw115
Dennoch lauf ich immer wieder vor die Wand.

Beispiel:

DNS und HTTPS

Ich möchte natürlich beides vom DMZ Net oder einem Host aus der DMZ nach draußen elauben. Soweit so gut.

Ich bekomme das nur  über eine Floating Rule hin.

Bedeutung für mich: Ich bin schon wieder auf dem falschem Interface, so das es nicht funktioniert.
Dann bei DNS  und Unbound. Speziell bei unbound weiss ich auch noch nicht was das Ding wie so macht und warum.

Meine DNS Auflösung die eben noch funktioniert hat ist nun dahin. Keine Ahnung was nun wieder hier passiert ist.
Bei der alten Firewall ganz Easy > DNS unter Global eingetragen, dann für welche Interfaces ,1 Rule dazu, fertig läuft. ( Alte Firewall Astaro / Sophos UTM)

Hier weiß ich schon wieder nicht wo ich den Fehler eingebaut haben könnte und in welcher Kombination  Rules mit Interface  oder doch im Unbound.

wenn ich auf der Firwall pinge kommt jetzt:

root@host:~ # ping www.heise.de
PING www.heise.de (193.99.144.85): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.070 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.035 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.048 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.030 ms
^C
--- www.heise.de ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.030/0.046/0.070/0.015 ms

Also meine Namensauflösung dahin. Zum Teil. Welcher Teil davon weiß ich noch nicht.

July 28, 2025, 02:17:43 PM #7
Interface: DMZ
Direction: in
Source: DMZ net
Destination: any
Destination port: 80, 443, ...
Action: allow

Zum Beispiel.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions