(SOLVED) Firewall / Rules / richtiges Interface

[fdiskc2000]

Moin zusammen,

ich habe jetzt angefangen mit VLAN´s zu spielen und aktuell einen Rechner erfolgreich im VLAN 200 eingebunden.
So ganz blicke ich das aber doch noch nicht, wann ich auf welchem Interface eine Regel erstelle (sofern es um mehr Interfaces als nur WAN + LAN geht):

Wo kommt der Traffic des Laptops (der im VLAN 200 steckt) an?
- wenn dieser ins Internet will (auf dem VLAN200-Interface? Das Firewall Log zeigt immer parallel einen Eintrag für das VLAN200 und danach die abgehende Anfrage der OPNsense über WAN ins Internet)

- wenn der Laptop auf die WebGUI der Opnsense soll?

Ein weiterer verwirrender Bereich ist der OpenVPN Server. Ich habe folgende Interfaces, die zum OpenVPN-Bereich gehören:

1. FIPVPN (Client verbindung zu "feste IP.net") damit die OPNsense eine feste IPv4 hat.
2. OVPNServer (wohin der Server seine Verbindung anbiet?)
3. OpenVPN (was aus dem OPNVPN Netzwerk wohin darf?)

Ich habe das Thema VPN zwar mit try&error zum Laufen bekommen. Aber das mit den zuständigen Interfaces für die FW-Regeln dabei noch nicht ganz verstanden fürchte ich.

Leider geht auch das Buch "der-opnsense-praktiker" nicht tief genug auf soetwas ein ;-(
Wäre toll wenn jemand sich die Mühe machen mag, das mit einfachen Worten zu erläutern.

Vielen Dank vorab.

[uneu]

Hallo...

der Traffic deines virtuellen LAN´s (200) kommt natürlich auf dem Interface deines physischen LAN´s an.

Eingehende Regeln: WAN
Ausgehende Regeln: LAN oder VLAN200

Wenn dein Rechner also "erfolgreich" im VLAN200 eingebunden ist, dann erstellst du die ausgehenden Regeln auch
unter diesem Interface (VLAN200).

Ansonsten hilft nur VIEL LESEN und VIEL PROBIEREN ;-)

[Mks]

Hi, so ganz verstehe ich noch nicht auf was du hinaus willst, aber ich versuche es:

Wo kommt der Traffic des Laptops (der im VLAN 200 steckt) an?

Sofern nicht im gleichen Subnetz kommt der Traffic in die Firewall am virtuellen Interface des VLAN200 an (deshalb incoming, da der Traffic an diesem Interface ankommt).

- wenn der Laptop auf die WebGUI der Opnsense soll?

Sofern du die Sense so konfiguriert hast das die GUI auch am VLAN200 Interface lauscht, wie oben. Der Traffic kommt am virtuellen Interface an, hast du eine entsprechende rule für Port 443 auf die IP der Sense öffnet sich die GUI.

Ich habe folgende Interfaces, die zum OpenVPN-Bereich gehören:

Um OpenVPN für remote worker zu nutzen benötigst du keine Zuweisung unter "Interfaces". Es genügt unter VPN->Server den entsprechenden Server zu konfigurieren schon hast du unter Rules die Möglichkeit Regeln zu erstellen wo die Clients des VPN Netzes hindürfen.

lg

[fdiskc2000]

Danke Euch für Eure Antworten.

Hi, so ganz verstehe ich noch nicht auf was du hinaus willst, aber ich versuche es:

Danke, dafür sind Deine Erklärungen für mich aber schon einen Schritt weit verständlicher ;-)

Sofern nicht im gleichen Subnetz kommt der Traffic in die Firewall am virtuellen Interface des VLAN200 an (deshalb incoming, da der Traffic an diesem Interface ankommt).

Genau so habe ich es laufen und es klappt soweit jetzt auch (192.168.200.x). Danke. Rein theoretisch: wenn es kein eigenes Subnetz wäre ... ? Dann wiederum auf "LAN" die Regeln?

Um OpenVPN für remote worker zu nutzen benötigst du keine Zuweisung unter "Interfaces". Es genügt unter VPN->Server den entsprechenden Server zu konfigurieren schon hast du unter Rules die Möglichkeit Regeln zu erstellen wo die Clients des VPN Netzes hindürfen.

Naja zunächst baut die FW halt einen Client-Tunnel zu einem Anbieter auf um die feste IPv4 zu bekommen (in Vorbereitung auf CNAT von Deutsche Glasfaser).
Dies wird als Netzwerkport ovpnc1 angelegt und ist bei mir einem Interface "FIPNET" zugeordnet. Um meinem Verständnis nach sagen zu können, was durch diesen Tunnel auf die FW herein kommen darf (Portbasiert).

Danach ist der OpenVPN Server konfiguriert und hat den Netzwerkport ovpns2 bekommen, von mir dann als Interface "OVPNServer".
In dem Glauben damit zu regeln, worüber dieser von Clients erreicht werden kann (mag Quatsch sein). Ist aktuell auf any/any alles auf.

Was autom. in der FW auftaucht ist und keine Interface-Zuweisung hat (da auch nicht verfügbar) ist ist der Eintrag "OpenVPN": ich gehe davon aus, dass ich hiermit steuern kann, wohin die remote worker kommen dürfen? (aktuell siehe Anhang)

[Mks]

Hi,

ein theoretisch: wenn es kein eigenes Subnetz wäre ... ? Dann wiederum auf "LAN" die Regeln?

Dein pyhsisches Interface sollte LAN zugeordnet sein, darauf die VLANs. Auf das LAN Interface sollte jetzt gar keine IP zugeordnet sein, nur auf VLANs.
Aber ja, wenn du keine VLANs angelegt hast dann direkt auf das Interface LAN.

VPN:
Was willst du eigentlich erreichen, ein Site2Site VPN oder "Remote worker"?

Was autom. in der FW auftaucht ist und keine Interface-Zuweisung hat (da auch nicht verfügbar) ist ist der Eintrag "OpenVPN": ich gehe davon aus, dass ich hiermit steuern kann, wohin die remote worker kommen dürfen? (aktuell siehe Anhang)

Ja, mehr brauchst du auch nicht für Remote worker. Du gibts in der VPN Server Konfig ein Tunnel Netzwerk an, aus dieser Adressrange bekommen die VPN Clients die IP Adresse, über den Rule Eintrag inder Firewall kannst du steuern wo die hinkommen.

lg

[fdiskc2000]

Dein pyhsisches Interface sollte LAN zugeordnet sein, darauf die VLANs. Auf das LAN Interface sollte jetzt gar keine IP zugeordnet sein, nur auf VLANs.

Aktuell hat die FW sowohl im VPN200 als auch im regulären LAN eine eigene IP, noch aus Testgründen. Warum sollte diese später denn auf dem LAN keine mehr haben?

[JeGr]

> Warum sollte diese später denn auf dem LAN keine mehr haben?

Das ist vielleicht unglücklich ausgedrückt. Ich denke gemeint war, dass man ein physikalisches Interface "sauber" konfigurieren sollte/möchte. Und dabei Mischbetrieb zwischen untagged VLANs und tagged VLANs vermeiden sollte. Da momentan dein LAN anscheinend untagged (ohne VLAN) aufliegt und die anderen VLANs als tagged auf dem gleichen Interface war die Aussage in der Richtung, dass du auch dein LAN dann als VLAN konfigurieren solltest und den Port im Switch dann als Trunk nur mit tagged VLANs konfigurieren.

[fdiskc2000]

Ah ok, alles klar. Danke. So habe ich das verstanden und ja das ist der Plan. Der Port wird später nur noch die VLAN´s haben.
Aber bis dahin muss ich erstmal alles konzeptionell auch hinbekommen haben ;-) Dauert bei mir alles ein bischen länger.