WebGUI WAN-seitig

Started by kosta, February 23, 2021, 11:07:09 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
February 23, 2021, 11:07:09 PM
Hallo,

was muss ich dafür tun, damit ich mein WebGUI von außen zugreifen kann?
Ich dachte es wäre genug dass die FW auf allen Intf hört und Firewall nach Innen am Port xxxx durchlässt.
Aber, scheinbar nicht.
Was fehlt mir bitte?
February 23, 2021, 11:54:11 PM #1
Hallo.

Ohne jetzt deine Kenntnisse in Frage zu stellen, aber meinst du nicht es wäre sinnvoll sich zuerst mit den Konzepten vertraut zu machen bevor man, warum auch immer, die GUI von außen erreichbar macht?

Fg
February 24, 2021, 01:59:03 AM #2
Warum vertraust nicht einfach dass ich meine Konzepte ganz gut im Griff habe und hilfst mir bei der Antwort?
February 24, 2021, 07:54:04 AM #3
Hallo kosta,

die WebGUI sollte von außen erreichbar sein, sobald du den entsprechenden Port unter Firewall -> Rules -> WAN frei gibst. Bei mir sieht das so aus:

IPv4+6 TCP    *    *    This Firewall    443    *    *    Allow WebGUI    

Ich habe allerdings den Port geändert (hier habe ich ihn durch den Standard-Port ersetzt). Zudem habe ich eine kleine Liste an Aliasen eingerichtet, die "URL (Table)" Einträge diverser Blocklisten enthält. Diese Blocklisten habe ich vor der "Allow"-Regel eingefügt. So reduziert man wenigstens einen Teil der Script-Kiddies.

Gruß
Robert
February 24, 2021, 08:08:55 AM #4
Ahhhh, das ist aber merkwürdig - oder by Design?
Wenn ich Rule ohne Port erstelle, dann geht's nicht? Also IPv4 -> This Firewall -> Any geht nicht, Port auf mein Custom Port gesetzt, und geht.
Besten Dank.
February 24, 2021, 03:41:35 PM #5 Last Edit: February 24, 2021, 03:45:53 PM by lfirewall1243
Quote from: kosta on February 24, 2021, 08:08:55 AM
Ahhhh, das ist aber merkwürdig - oder by Design?
Wenn ich Rule ohne Port erstelle, dann geht's nicht? Also IPv4 -> This Firewall -> Any geht nicht, Port auf mein Custom Port gesetzt, und geht.
Besten Dank.
Sollte eigentlich genau so gehen

Wenn man schon sowas macht dann grenz doch deine FW Regel etwas ein.
Regel mit Ziel WAN Adresse,...

Mal ganz von der Sicherheitsthematik mit öffentlich erreichbaren WebUIs abgesehen...was ich immer Katastrophal finde...
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
February 24, 2021, 06:45:23 PM #6
@kosta jetzt bin ich neugierig: warum, was ist dein Ziel?
Die frage hoffe ich gestattest du mir (ich finde es auch sehr kritisch), ich versuche aber dazu zu lernen.


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
February 24, 2021, 07:22:03 PM #7 Last Edit: February 24, 2021, 07:31:48 PM by kosta
Klar:

1. Erst zu wissen ob es funkt
2. Extern das Thema cert testen, aber vor allem:
3. Zu gebrauchen wenn ich eine Test-Umgebung habe und die FW von zu Hause über IPsec in der Firma oder vice versa, je nach dem wo was ist, zugreifen zu können, ohne mir zusätzliche Netze über IPsec durchschleifen zu müssen.
February 24, 2021, 07:41:19 PM #8
Quote from: kosta on February 24, 2021, 07:22:03 PM
Klar:

1. Erst zu wissen ob es funkt
2. Extern das Thema cert testen, aber vor allem:
3. Zu gebrauchen wenn ich eine Test-Umgebung habe und die FW von zu Hause über IPsec in der Firma oder vice versa, je nach dem wo was ist, zugreifen zu können, ohne mir zusätzliche Netze über IPsec durchschleifen zu müssen.

Absolut irre, wenn sowieso ein Tunnel gegeben ist oder leicht zu erstellen ist. Klingt wie der Bauplan zu einer hübschen Katastrophe. Nur falls andere hier das lesen und auch sowas machen wollen...
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
February 24, 2021, 07:49:24 PM #9
Jetzt bin ich gespannt: weil? Ich hab das Setup schon viele Jahre perfekt laufen ohne jeglichen Probleme. Früher mit 2 Sophos, jetzt Sophos + OPNsense.
February 24, 2021, 07:55:01 PM #10
Quote from: kosta on February 24, 2021, 07:49:24 PM
Jetzt bin ich gespannt: weil? Ich hab das Setup schon viele Jahre perfekt laufen ohne jeglichen Probleme. Früher mit 2 Sophos, jetzt Sophos + OPNsense.
Nur weil es bisher lief heißt es nicht dass es sicher ist.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
February 24, 2021, 07:57:24 PM #11
Ich warte noch immer auf die Antwort: was spricht dagegen?
February 24, 2021, 07:58:32 PM #12
Quote from: kosta on February 24, 2021, 07:57:24 PM
Ich warte noch immer auf die Antwort: was spricht dagegen?
Isoliert heißt kein Zugriff aus dem Internet oder was meinst du ?
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
February 24, 2021, 08:03:52 PM #13
Nun,

selbstverständlich geht das was Du möchest.

Aber es ist sicherheitstechnisch eigentlich ein Gau. Regel nummer 1 . Stelle niemals ein Webinterface einer Sicherheitseinrichtung direkt ins Internet. Keiner von uns weiß ob im Interface keine Sicherheitslücken sind.

2. Wenn Du auf einer WAN ip noch andere dienste bereitstellen willst beist sich das schnell. Es sei den du nutzt andere Ports für das Interface.
February 24, 2021, 08:25:02 PM #14
Quote from: lfirewall1243 on February 24, 2021, 07:58:32 PM
Quote from: kosta on February 24, 2021, 07:57:24 PM
Ich warte noch immer auf die Antwort: was spricht dagegen?
Isoliert heißt kein Zugriff aus dem Internet oder was meinst du ?
Genau. Keine Firewall können aus dem INTERNET zugegriffen werden. Wanseitig heißt aber nicht zwingend "INTERNET" oder? :)
Print
Go Up Pages1 2
User actions