Allgemeinefrage zum Thema Regeln

[almo]

Hallo,

ich bin mir aktuell unsicher was das Thema Regeln angeht da ich bei einer neuen Setup komisches erlebt habe. Bevor ich davon Berichte stelle ich einfach mit meinem Versuchsaufbau die Frage:

Aufbau:

Code: [Select]

                                                           
     +----------------+                                     
     | Vodafone Kabel |                                     
     | Bussines Modem |                                     
     | 192.168.0.1/24 |                                     
     +--------|-------+                                     
              |                                             
              |                                             
              |                                             
              |                                             
              |Link mit Fester IP zum Modem                 
              |192.168.0.210                               
              |                                             
              |                                             
   +----------+--------+                                   
   |  OPNSense         |                                   
   |  Firewall         |                                   
   +---------^---------+                                   
             |                                             
             |                                             
             |                                             
             |192.168.1.254                                 
             |Firewall IP im LAN                           
             |Gateway / WebGui                             
             |                                             
             |                                             
             |                                             
             |                                             
+------------|------------------------------------+         
|            v                                    |         
|     Lan Netzwerk                                |         
|     DHCP per Firewall                           |         
|     192.168.1.0/24                              |         
|     Bereich 100 bis 200                         |         
|                                                 |         
|                                                 |         
|                                                 |         
+-------------------------------------------------+
Frage:

1. Muss ich damit die Firewall mit dem Modem als DNS für externe Auflösungen reden kann keine Regel anlegen oder geht das per Default
2. Gilt das auch für NTP nach extern braucht es da eine Regel oder darf die Firewall das per Default wenn der Dienst konfiguriert ist
3. Wenn ich jetzt eine Regel erstellen möchte die z.b http und https vom LAN nur Richtung Internet erlauben möchte wie würde diese aussehen? Denn die WAN Schnittstelle und WAN-Adresse ist ja für die Firewall eine 192.168.0.1/24 aber das Internet ist ja keine nicht geroutet Class C Netz.

Vielleicht kann mir jemand meine Knoten im Kopf lösen den ich mir selbst produziert habe und jetzt alle meine Konfigurationen in Frage stelle.

[ArminF]

Kannst Du Dein Modem nicht auf Bridge umstellen, so dass Du direkt die WAN IP auf der OPNSense hast?
So würde es am meisten Sinn machen. Hatte ich auch gemacht. Sollte eigentlich gehen.
Schau mal on Du Dich auf dem Modem einloggen kannst und den Bridge Mode / Path trough aktivieren könntest.

Regeln Wäre
- Interface LAN
- Direction IN (hier musst Du vielleicht auf OUT stellen. Einfach probieren)
- Source LAN net
- Destination ANY
- Source Port ANY
- Destination Port 80/443/53 ( am besten Alias anlegen)

DNS kannst Du Unbound nehmen und die Forwarder Option nutzen.
Dann unter System - Settings - General entweder das Modem oder gleich 8.8.4.4 / 8.8.8.8 eintragen und das WAN interface auswählen.

Im DHCP Bereich dann den DNS als OPNSense setzen. 192.168.1.254

Hoffe das hilft Dir weiter.
Gutes Gelingen
Armin

[almo]

Erst mal Danke für deine Antwort. Leide hat das Kabelmodem keine Bridge Modus so das ich diesen Weg gezungen bin mit diesem 192.168.0.1/24 Netz am WAN. Aber so ganz schlau bin ich nicht geworden wie meine LAN to Internet http/https Regel aussehen muss. Daher versuche ich es nochmal.

PC 1: (Daten kommen per DHCP)
- IP 192.168.1.119/24
- DNS: 192.168.1.254 (Firewall)
- Gateway: 192.168.1.254 (Firewall)

Die Namensauflöung an PC1 für z.b google.de funktioniert. Jetzt öffne ich eine Browser an diesem PC und möchte google.de öffnen was eine http to https transaktion ist. Das Paket Startet mit der Zieladresse von google am Rechner, wandert durch den Switch zur Firewall und ploppt dort in der LAN Schnittstelle ein. Jetzt soll eine Regel erlauben das dieses Paket von LAN richtung Internet für http/https darf.

Wenn ich die Regel anlege und als Ziel WAN Netzwerk / WAN Adresse setzte funktioniert das nicht. Trag ich aber bei Ziel "any" ein funktioniert das wunderbar.

So jetzt spin ich das ganze noch weiter. Ich habe neben LAN noch ein zweites Netzwerk aller DMZ wo Server drin stehen und möchte eben nicht das durch die Regel von Oben direkt http/https richtung "any" also auch richtung DMZ http/https funktionieren. Sondern eben für LAN nur richtiung WAN.

Wenn ich opnsense da richtig verstande habe müsste ich da in meinem Fall noch eine Blockregel für LAN für http und https für ziel dmz netzwerk erstellen?

Oder verstehe ich hier einfach was falsch oder mach ich mir meine Knoten im Kopf einfach selbst. Denn die Firewall weiß ja das die Route für alle Netzwerk die Sie selbst nicht kennt über das Gateway 192.168.0.1 das Modem im WAN laufen.

Ich bin gepsannt über den Gedankenaustausch.

[atomique]

Also, ich hoffe ich habe jetzt hier nichts übersehen, aber ein solches Szenario löse ich immer so:

- WAN-Interface bekommt IP im (in deinem Fall) Netz 192.168.0.0/24. Für den Weg ins Internet gibst du hier ein "Upstream-Gateway" ein, in deinem Fall die IP-Adresse deines Modems.
- LAN-Interface bekommt IP im LAN-Netz 192.168.1.0/24.
- Du stellst deine LAN-Rule ein, wie bereits beschrieben und nutzt wie empfohlen Unbound. So sollte das ganze funktionieren.
- Für eingehenden Traffic auf einen bestimmten Port musst du in deinem Fall aber ein NAT von deinem Modem (Braucht dann eine Firewall) auf die Firewall und dann ein erneutes NAT von deiner OPNSense auf das Gerät (Server).

Firewall-Regeln versuche ich mir bei OPNSense so zu merken:
Möchtest du Traffic im LAN-Netzwerk blockieren/freigeben? Nutze "LAN". Wenn du vom Interface OPT1 oder ähnliches Traffic erwartest und diesen freigeben willst: Lege Regeln dort an.

Ich hoffe das hilft erstmal weiter.

[almo]

Leider nicht so ganz 

Vielleicht kannst du ja mal auf den Beispiel von oben die Regel Formulieren die es erlaubt den Client ausm LAN http und https richtung Internt zu machen aber z.b in eine bestehendes anderes Netzwerk an der Firewall nicht.

[atomique]

Also ich würde es so machen, dass du vom LAN HTTP/HTTPS raus lässt und dann vom anderen Adapter, wo du es nicht erlauben möchtest den eingehenden Traffic aus diesem Netz einfach abweist. Sowas in der Art:

LAN:

Aktion: Erlauben
Schnittstelle: LAN
Richtung: In
TCP/IP: IPV4
Protokoll: TCP
Quelle: LAN Net
Quellportbereich: HTTPS
Ziel: jeglich


OPT1: (Extra-Adapter)

Aktion: Blockieren
Schnittstelle: OPT1
Richtung: In
TCP/IP: IPV4
Protokoll: TCP
Quelle: LAN Net
Quellportbereich: ANY
Ziel: jeglich

Vielleicht kein ein versierter OPNSense-User hier mal drüber schauen, ich bin hier noch nicht so lange dabei. Aber das sollte funktionieren, probier es mal aus.

Gruß Atomique

[ArminF]

hm.. doppel nat is das dann ja.

Da versuch ich immer drum herum zu kommen.

Viel Hilfe werd ich wohl nicht anbieten können.

Schau mal hier vielleicht hilft Dir das noch:
https://forum.opnsense.org/index.php?topic=15911.0

A

[atomique]

hm.. doppel nat is das dann ja.

Da versuch ich immer drum herum zu kommen.

Ich prinzipiell auch, aber manchmal geht das halt nicht (wenn man bspw kein Modem mit Bridge-Mode hat) - eventuell lohnt es sich auch darüber nachzudenken einfach ein Modem vor das Gateway zu schnallen?

Gruß Atomique

[JeGr]

> Wenn ich die Regel anlege und als Ziel WAN Netzwerk / WAN Adresse setzte funktioniert das nicht. Trag ich aber bei Ziel "any" ein funktioniert das wunderbar.

Du bist da leider einem grundsätzlichen Trugschluss aufgesessen. WAN Netzwerk / Adresse sind NICHT das INTERNET. Sondern lediglich die Adresse/das Netz, welches auf dem WAN auf der Sense aufliegt. In deinem Fall also 192.168.0.1 bzw. 192.168.0.0/24

Das ist NICHT deine Destination, dein Ziel, sondern dein Ziel ist die IP bei Google, die auch im Paket steht. Ergo wird die Regel auch korrekt wie du schreibst nicht matchen. Dein Ziel für Dienste im Internet muss Any sein, nicht WAN Netzwerk. Die Überlegung ist immer, WER sendet, WER soll empfangen -> Das sind Source / Destination im Paket. Dann gilt es nur noch zu überlegen WO das Paket auf dem Interface zuerst ankommt (auf dem LAN, das ist korrekt) und dort wird es dann auch gefiltert.

[almo]

Das ist NICHT deine Destination, dein Ziel, sondern dein Ziel ist die IP bei Google, die auch im Paket steht. Ergo wird die Regel auch korrekt wie du schreibst nicht matchen. Dein Ziel für Dienste im Internet muss Any sein, nicht WAN Netzwerk. Die Überlegung ist immer, WER sendet, WER soll empfangen -> Das sind Source / Destination im Paket. Dann gilt es nur noch zu überlegen WO das Paket auf dem Interface zuerst ankommt (auf dem LAN, das ist korrekt) und dort wird es dann auch gefiltert.

Danke JeGr für die Antwort genau das hat meinen Konten im Kopf verursacht das man mit WAN an Internet denkt ob wohl das WAN hier auch sogesehen nur ein lokal lan ist.

Nun zurück zum Thema, das Any beim Ziel führt dann aber auch dazu das z.b ein http request in ein anders lokales Netzwerk an der Firewall genau so dürfte. Sprich wenn ich http und https richtung internet erlaube und es aber richtung dem anderen netz nicht will muss ich es verbieten. Um das Any etwas einzuschenken? Hab ich das richtig verstanden ? 

[lfirewall1243]

Das ist NICHT deine Destination, dein Ziel, sondern dein Ziel ist die IP bei Google, die auch im Paket steht. Ergo wird die Regel auch korrekt wie du schreibst nicht matchen. Dein Ziel für Dienste im Internet muss Any sein, nicht WAN Netzwerk. Die Überlegung ist immer, WER sendet, WER soll empfangen -> Das sind Source / Destination im Paket. Dann gilt es nur noch zu überlegen WO das Paket auf dem Interface zuerst ankommt (auf dem LAN, das ist korrekt) und dort wird es dann auch gefiltert.

Danke JeGr für die Antwort genau das hat meinen Konten im Kopf verursacht das man mit WAN an Internet denkt ob wohl das WAN hier auch sogesehen nur ein lokal lan ist.

Nun zurück zum Thema, das Any beim Ziel führt dann aber auch dazu das z.b ein http request in ein anders lokales Netzwerk an der Firewall genau so dürfte. Sprich wenn ich http und https richtung internet erlaube und es aber richtung dem anderen netz nicht will muss ich es verbieten. Um das Any etwas einzuschenken? Hab ich das richtig verstanden ?

Genau, vor der Internet Allow Regel musst du Regeln Regeln machen die den Zugriff in ein anderes verbieten. Leider umständlich, gerade bei sehr vielen Netzen aber geht nicht anders:)

Gesendet von meinem MI 9 mit Tapatalk

[almo]

Und jetzt noch die Frage in die Andere richtung, wie würde sich das Verhalten wenn der WAN-Anschluss eine 129.187.x.y öffentlich geroutet und feste IP Adresse hätte. Wäre dann die Regel immer noch Any ? Oder würde das dann mit WAN-Netzwerk funktionieren ?

[chemlud]

Nein.

[almo]

Wunderbar, damit sind alle Zweifel behoben.

Ich danke euch allen für den Support/Austausch.