Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wie Zugriff auf OPNsense GUI aus VLANs unterbinden?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Wie Zugriff auf OPNsense GUI aus VLANs unterbinden? (Read 1514 times)
Kandarion
Newbie
Posts: 6
Karma: 0
Wie Zugriff auf OPNsense GUI aus VLANs unterbinden?
«
on:
December 21, 2020, 10:35:49 pm »
Hallo zusammen,
nach der erfolgreichen Installation einer OPNsense auf Zotac CI329 werde ich wahnsinnig, weil ich es nicht hinbekomme, Clients von der Weboberfläche fernzuhalten.
Die Konfig ist folgendermaßen:
Fritzbox 192.168.178.1
|
WAN 192.168.178.2
OPNsense
LAN 192.168.1.1 (in dem Subnetz hängen Raspi 192.168.1.2 mit pihole und Unifi Controller sowie drei Unifi Access Points)
| | |
VLAN10 192.168.10.1 VLAN 20 VLAN 30
Ich habe meine Firewall-Regeln grundsätzlich nach dieser Anleitung hier gebaut:
https://homenetworkguy.com/how-to/configure-opnsense-firewall-rules/
Die Firewall-Konfiguration für LAN und beispielhaft VLAN30 habe ich angehängt. Damit sollen folgende Ziele erreicht werden:
1.) Internetzugriff
2.) Nutzung nur des piholes als DNS-Server
3.) Kein Zugriff auf Geräte im LAN (pihole und Unifi Zeug) und anderen VLANS
4.) Kein Zugriff auf die Fritzbox über die WAN-Adresse
Die anti-lockout-rule habe ich ausgeschaltet. Damit ich aber trotzdem noch Zugriff auf OPNsense, Raspi und Fritzbox habe, habe ich für jeweils ein Gerät mit fester IP in den VLANS 10 und 20 ein Alias "AdminDevices" erstellt und diesen über die floating rules Zugriff auf die Geräte gewährt. Funktioniert für Raspi und Fritzbox auch einwandfrei. Hier kann ich nur mit den AdminDevices zugreifen. Auch kann ich nur mit den AdminDevices auf die 192.168.1.1 der OPNsense zugreifen.
Aber wenn ich auf egal welchem Gerät die Adresse des jeweiligen Gateways aufrufe (192.168.10.1, ...20.1, ...30.1) lande ich auch auf der GUI der OPNsense. Und das möchte ich nicht sondern dass hier nur die beiden AdminDevices über 192.168.1.1 Zugriff haben.
Wahrscheinlich habe ich irgendwo einen depperten Denkfehler. Aber wo?
Ich muss dazu sagen, die Regelsetzung bei der OPNsense ist Neuland für mich. Bisher hatte ich mit Unifi-Produkten gearbeitet, namentlich einer Unifi Dream Machine. Aber da man da einen Accountzwang beim Einrichten hat und mit den gleichen Zugangsdaten, die man auch für das dortige Forum nutzt, seine Dream Machine remote administrieren kann und außerdem Telemetrieübertragung nicht vollständig abschalten kann bin ich meinem Bauchgefühl gefolgt und hab mir gedacht, europäische Nutzer sollten mit europäischen Lösungen arbeiten und habe die OPNsense aufgesetzt.
Für hilfreiche Hinweise sage ich schon einmal herzlichen Dank.
Viele Grüße
Chris.
«
Last Edit: December 21, 2020, 10:38:46 pm by Kandarion
»
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Wie Zugriff auf OPNsense GUI aus VLANs unterbinden?
«
Reply #1 on:
December 21, 2020, 11:24:07 pm »
Grundsätzlich braucht man für die Basics weder Blockregeln noch Regeln unter Floating.
Du hast das Prinzip noch nicht verstanden. Dabei ist es ziemlich simpel:
- grundsätzlich ist alles verboten (ist automatisch so)
- du erlaubst nur, was du erlauben willst
- Regeln werden eingehend auf dem Interface angelegt, wo die Pakete an der OPNsense zuerst ankommen
- du steuerst dann über die Destination (in Kombination noch dem invert Häkchen und mit Aliases ziemlich mächtig) wohin diese Pakete gehen dürfen
Ich lege mir z.B. immer einen Alias mit allen lokalen Netzen an. Diesen nehme ich dann als Destination und mit Destination invert wird daraus quasi „alles was ins Internet soll“.
Logged
„The S in IoT stands for Security!“
Kandarion
Newbie
Posts: 6
Karma: 0
Re: Wie Zugriff auf OPNsense GUI aus VLANs unterbinden?
«
Reply #2 on:
December 22, 2020, 11:06:01 am »
Hi und Danke für Deine Antwort :-)
Also hat mich mein Bauchgefühl nicht getrogen, dass die in dem von mir verlinkten Artikel beschriebene Vorgehensweise irgendwie kontraintuitiv ist.
Wenn ich Dich richtig verstanden habe, funktioniert die OPNsense dann genauso wie alle anderen Firewalls. Was nicht explizit erlaubt wird, wird standardmäßig geblockt, was ja auch irgendwie sinnvoller ist als "alles was nicht explizit verboten ist, wird per Allow all-Regel am Ende erlaubt", was bei mir gerade scheinbar das Regelset ausmacht.
Das heißt für mich, ich werde versuchen, das Regelset zwischen den Jahren nochmal neu aufzusetzen und melde mich dann, wenn ich noch Fragen haben sollte.
Danke erstmal und schöne Feiertage
Chris.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Wie Zugriff auf OPNsense GUI aus VLANs unterbinden?