[SOLVED] Internetzugriff OPNsense als Exposed Host

[brei]

Hallo zusammen,

ich arbeite seit längerem mit der OPNsense-Firewall im Beruflichen Bereich - allerdings nur als "Anwender" (VPN-Profile nach Vorgabe einrichten). Ich merke selbst, dass das nicht reicht, bei manchen Support-Fällen kann ich da nur an den langjährigen Chef-Admin verweisen.
Ich hab mich deshalb entschlossen, daheim eine OPNsense-Firewall einzurichten um eigene Erfahrungen im Firewall-Betrieb zu sammeln - im Büro bietet sich mir leider nicht die Möglichkeit, in dem Bereich eingelernt zu werden.

Ich wäre sehr dankbar, wenn mir weitergeholfen wird. Ich habe den Vormittag heute schon damit zugebracht, zu der Sache zu recherchieren, werde aus den Ergebnissen aber nicht sonderlich schlau.

Ich habe nun folgendes Setup erdacht:

Code Select Expand


      WAN / Internet
            :
            : Cable (Provider: Pyur)
            :
      .-----+------.
      |  FritzBox  |
      |  6490cable |
      '-----+------'
            |
        WAN | 10.99.0.0/29
            |
      .-----+------.
      |  OPNsense  |
      '-----+------'
            |
        LAN | 192.168.10.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------...
(Clients/Servers)


Die Fritzbox soll also nur einen Internetzugang bereitstellen, später kommt noch ein WLAN (über einen Unifi AP) dazu.

Folgender Zustand:

   
• WLAN und DHCP der Fritzbox deaktiviert, IP-Addresse der FritzBox ist 10.99.0.1/29
• OPNsense-Firewall als Exposed Host in der Fritzbox konfiguriert
• OPNsense-Konfiguration: (über den Wizard) WAN-Interface (ue0) hat die 10.99.0.2/29, als Upstream-Gateway ist die 10.99.0.1 konfiguriert
• keine MTU explizit gesetzt, kein MSS-Wert gesetzt, keine PPPoE- oder PPPTP-Konfiguration, "Block RFC1918 Private Networks" ist deaktiviert, "Block bogon networks" ist aktiviert
• LAN-Interface (em0) hat die 192.168.10.1/24
• SSH-Key für den root-User hinterlegt und SSH nur für LAN aktiviert, HTTPS nur über LAN aktiviert
• Momentan sind zwei Firewall-Regeln aktiv, die aber jeglichen Verkehr auf jegliches Interface erlauben.
• Es gibt eine NAT-Regel (Anti-Lockout Rule), damit ich vom LAN aus auf die Firewall komme.

Folgendes Problem:

   
• Ich komme von der Firewall aus nicht ins Internet. Über die aktive Shell kann ich zwar alle eigenen Interfaces pingen (192.168.10.1, 10.99.0.2), aber nicht das Standard-Gateway (10.99.0.1).

Ich bin mir ziemlich sicher, dass die Lösung recht einfach ist, bräuchte aber etwas Hilfe dazu.

Vielen Dank

[theq86]

Bitte mehr Infos. Gern auch Screenshots von:
- der IP Konfiguration
- den Outbound NAT Regeln
- den Firewallregeln
- der Routingtabelle

Was sagt der Output des Ping Commands genau?

[brei]

Wenn ich die Fritzbox-IP pinge, erhalte ich den Meldung "ping: sendto: Host is down".
Ich bin mir sehr sicher, dass irgendwelche NAT-Rules und andere Firewall-Regeln fehlen, allerdings weiß ich nicht, welche ich anlegen muss.

Weiter Infos siehe Screenshots.


Interface Overview LAN


Interface Overview WAN

[theq86]

Sieht erstmal vernünftig aus. Zumindest von der OPNsense Seite. Wie sieht es auf der Fritz Box aus?

[brei]

Die Firewall ist mit ihrer WAN-IP im Transfernetz als Exposed Host eingerichtet, darf eigenständig Portfreigaben einrichten (sofern notwendig?). Es sind keine NAT-Regeln eingerichtet - liegt es daran?

Edit: Gibt es ein Buch (o.ä.) mit der man in die Thematik eingeführt wird? Das würde mir den Einstieg erleichtern.

[theq86]

Also wenn du von der Sense nicht mal die Fritz Box erreichen kannst, dann stimmt schon mal was nicht mit den Adresseinstellungen auf einem der Geräte. Hast du in der Fritzbox auch die korrekte Netzmaske gesetzt? Wie sehen da generell die Einstellungen aus?

[brei]

Ich habs gelöst.
Stellt sich heraus, dass USB-Netzwerkadapter nicht besonders gut funktionieren. Ich hab jetzt temporäre Hardware da mit mehreren Netzwerkinterfaces, die OPNsense tut wie sie soll.

Danke für die Hilfe :-)