Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Anfänger - Problem Internetzugang DMZ
« previous
next »
Print
Pages: [
1
]
Author
Topic: Anfänger - Problem Internetzugang DMZ (Read 2779 times)
ldg346
Newbie
Posts: 9
Karma: 0
Anfänger - Problem Internetzugang DMZ
«
on:
March 10, 2021, 01:04:05 pm »
Hallo zusammen,
ich bin neu hier, so wie auch neu bei OPNsense, Firewalls und Netzwerken generell.
Ich habe ein Problem, das ich nicht nachvollziehen kann, und welches ich alleine nicht gelöst bekomme.
Zu meinem Setup:
Ich betreibe OPNsense in einer VM auf einem Proxmox Node bei mir zuhause.
Die Installation und die Ersteinrichtung (mit WAN und LAN Interface, PCI Passthrough an die OPNsense-VM) hat soweit auch ganz gut geklappt, auch wenn es immer wieder mal sporadische Internetverbinungsprobleme gibt, die ich jetzt aber mal außen vor lasse.
Nun würde ich gerne weitere Netzwerke einrichten, angefangen mit einer DMZ.
Dazu habe ich mich an diese Anleitung gehalten [https://homenetworkguy.com/how-to/create-basic-dmz-network-opnsense/], wobei ich diese Vorgehensweise schon mit anderen Anleitungen verglichen habe - sollte soweit passen. Meine Firewall-Regeln hänge ich als Screenshot an.
Eigentlich sollte ich nun ins Internet gelangen, jedoch funktioniert es nicht.
Dazu kommt noch, dass ich trotz Block-Rule (#4) von der DMZ aus clients im LAN wie auch die Firewall (192.168.1.1) selbst anpingen kann... sollte so doch auch nicht möglich sein?
Wenn ich nun Regel #4 deaktiviere, hab ich noch immer keinen Zugang zum Internet, erst wenn ich Regel #2 deaktiviere habe ich Internetzugriff.
Ich wäre sehr dankbar, wenn sich jemand kurz meinem Problem annehmen könnte.
Da ich nicht weiß, ob und welche weiteren Infos von meinem Setup dazu genau gebraucht werden, werde ich diese nach Hinweis nachliefern.
Vielen dank und LG
Logged
lidynia.sven
Newbie
Posts: 46
Karma: 2
Re: Anfänger - Problem Internetzugang DMZ
«
Reply #1 on:
March 10, 2021, 09:00:53 pm »
Binde deine Regel 4 mal an das Lan Interface als destination. Dann sollte er alles aus der DMZ Richtung Lan blocken.
Deine Regel 2 blockt nur DNS aus der DMZ heraus.
Jedoch verstehe ich den Sinn nicht.
Die DMZ liegt ja vermutlich al einem eigenen Interface. Sprich du hast 3 Netzwerkkarten WAN, LAN und DMZ.
Folglich geht nur über die Sense Pakete die geroutet werden müssen. Alles am switch der DMZ spricht direkt miteinander ohne über die DMZ zu gehen.
Gesendet mit Tapatalk pro
«
Last Edit: March 10, 2021, 09:10:15 pm by lidynia.sven
»
Logged
wurmloch
Full Member
Posts: 101
Karma: 14
Re: Anfänger - Problem Internetzugang DMZ
«
Reply #2 on:
March 10, 2021, 11:11:18 pm »
Hallo lgd346,
die Konfig ist gar nicht so schwer, wenn Du verstanden hast, wie die Regeln ticken. Meine Empfehlung ist, zunächst die Regeln für DMZ eine nach der andern zu schreiben und zu testen. Die Regeln werden von oben nach unten abgearbeitet, und falls eine für das Paket greift, werden die restlichen nicht mehr betrachtet.
Zunächst soll die DMZ raus (egal wohin) können, also schreibst Du in den DMZ Regeln ganz nach unten:
Pass IPv4 * Source:DMZ net * Destination * "Default allow DMZ to any rule"
Das ist eine Kopie der entsprechenden Regel, die Du im LAN findest.
Damit kann die DMZ zur Firewall (DNS, NTP, HTTPS usw.), zu LAN und zu WAN, also ins Internet.
Jetzt möchtest Du den Traffic zu LAN einschränken, also kommt darüber eine Regel
Reject IPv4 * Source:DMZ net * Destination:LAN net "Reject DMZ to LAN"
Und gib bitte nach dem Apply der Regel der Box je nach Hardware ruhig eine ganze Minute Zeit, bevor Du testest, das hat mich schon einige Male genarrt.
Wenn Du jetzt auf eine IP im LAN pingst, dann solltest Du keine Antwort bekommen. Übrigens kann Deine Regel 4 den Ping nicht verhindern, denn Ping ist ICMP und nicht TCP/UDP. Du musst die Protokolle und Ports verstehen und entsprechend nutzen, sonst frustrierst Du Dich.
Jetzt möchtest Du noch den Traffic aus der DMZ auf die Firewall einschränken, sehr gute Idee. Also wieder eine Regel darüber:
Reject (oder Block) IPv4 * Source:DMZ net * Destination:This Firewall "Reject DMZ to Firewall"
Damit solltest Du nicht mehr an die Firewall herankommen, aber für ein paar Sachen ist sie ja gut, also wieder darüber:
Pass IPv4 ICMP Source:DMZ net * Destination:This Firewall "Allow PING to Firewall"
Und dann noch
DNS: IPv4 UDP:53
NTP: IPv4 TCP/UDP:123
usw
Hoffe, das hilft ein bisschen.
Ach ja, Regeln auf allen Interfaces (außer WAN) sind
eingehende
Regeln. Wenn Du bei einer Regel die "Direction" anschaust, dann steht da "in". Das bedeutet "Direction of the traffic. The default policy is to filter inbound traffic, which sets the policy to the interface originally receiving the traffic."
Damit ist die Netzwerkschnittstelle der Box gemeint. Wenn Du an die LAN Schnitstelle einen PC anschließt und von dem aus einen Ping an 9.9.9.9 abschickst, dann geht das Paket vom PC zur Box IN die LAN Schnittstelle rein. Achtung: Knoten im Kopf, immer schön dran denken
Gruß und viel Erfolg!
Uwe
Logged
ldg346
Newbie
Posts: 9
Karma: 0
Re: Anfänger - Problem Internetzugang DMZ
«
Reply #3 on:
March 11, 2021, 09:59:40 am »
Hallo!
Vielen Dank für Eure Antworten!
Ich habe gestern noch ein bisschen rumgespielt und dabei OPNsense direkt auf einem anderen PC (mit 4 nativen ethernet ports) aufgesetzt, ohne Proxmox.
Nachdem ich die Konfiguration gleich (ich hoffe zumindest, dass ich nichts anders eingestellt habe) gemacht habe wie unter Proxmox, lief die DMZ sofort ohne Probleme, und das mit nur einer Regel:
Pass - in - source any - direction !LAN
Das klappte auf Anhieb, konnte ins Internet und nicht auf die Firewall oder ins LAN. Die Regel hab ich exakt so zuvor ohne Erfolg auf Proxmox probiert.
Nun denke ich, dass es wohl an der Konfiguration mit Proxmox liegen muss?! Auch bei Tutorials und Youtube Videos habe ich gesehen, dass diese einfache "!LAN" Regel auf Anhieb funktionieren müsste.
Das heißt ich werde jetzt nochmal recherchieren wie die besten Settings für Proxmox sind und alles neu aufsetzen, vielleicht auch nicht mittels PCI passthrough sondern Bridges arbeiten (ist das denn überhaupt gleich "sicher", weiß das jemand?), und dann weiter schauen ob ich noch das selbe Problem habe.
Was mir auch aufgefallen ist, ich hatte seit der Neuinstallation keine Verbindungs(aufbau)probleme ins Internet. Zuvor kam es immer wieder mal vor, dass einfach die Verbindung (nicht ins LAN bzw. WLAN) abriss. Aber dafür ist wohl die Zeit zu kurz, um das mit Sicherheit sagen zu können.
Die Protokolle, und generell einige Begrifflichkeiten muss ich wirklich schleunigst lernen. Habe schon gemerkt, dass es hier mit dem stupiden Folgen von Anleitungen nicht immer getan ist
Zumindest hab ich gestern noch VLANs erfolgreich einrichten können, und weiß nun was trunking, tagging etc bedeutet
Danke für Eure Hilfe, ich werde später ein Update nachreichen.
LG
Logged
ldg346
Newbie
Posts: 9
Karma: 0
Re: Anfänger - Problem Internetzugang DMZ
«
Reply #4 on:
March 13, 2021, 10:17:22 am »
Habe mich nun doch dazu entschieden, OPNsense nicht zu virtualisieren, da es mit dem PCI passthrough noch andere Schwierigkeiten gab und ich auch keine Lust habe die Verbindungsprobleme ausfindig zu machen, die wohl nur bei der Virtualisierung auftreten.
Danke nochmal für Eure Hilfe
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Anfänger - Problem Internetzugang DMZ