[gelöst] Firewall schedules werden ignoriert

[Kandarion]

EDIT: Bevor jemand bis zum Ende liest, ich habe den Fehler bereits gefunden, siehe ganz unten.

Hallo Forum,

ich versuche es erst einmal im deutschsprachigen Forum, weil ich hoffe, mich hier besser verständlich machen zu können.

Ziel:
Zwei Usern mit jeweils drei Geräten zeitgesteuerten Zugriff ins Internet zu gewähren. Richtig vermutet, zwei Kinder in den Sommerferien, die ansonsten noch spät in der Nacht vor den Geräten hängen, wenn die Eltern schon ins Bett wollen ;-)

Vorweg:
Ich hatte das Ganze seit Monaten bereits für ein Kind am Laufen, erst seit die Schedule für das zweite Kind dazukam, werden beide Schedules ignoriert.

Was habe ich gemacht? (Achtung: Laienbeschreibung ;-))
1.) Allen Geräten feste IP-Adressen zugeordnet (192.168.40.30-32 für Kind 1 und 192.168.40.40-42 für Kind 2)
2.) Zwei Aliase eingerichtet für die Kindergeräte (siehe "Aliases Niklas.png" als Beispiel)
3.) Zwei Schedules eingerichtet (siehe "Schedules Settings.png")
4.) Firewall-Regeln eingerichtet (siehe "VLAN40 Rules Firewall.png" und "VLAN40 Block Rule Schedule Niklas.png")
5.) Cronjob eingerichtet, der kill states um 20.31 und 0.01 Uhr ausführt.

Trotzdem kommen beide Kinder rund um die Uhr ins Internet. Die Schedule für Kind2 (Niklas) ist um 12.32 Uhr aktiv (grün hinterlegt) lt. Screenshot "VLAN40 Rules Firewall.png". Trotzdem ist der erste Match die letzte Regel ganz unten, siehe "Log Files Internetzugriff Niklas.png" und "Log Files Internetzugriff Niklas Detail.png" (angehängt im nächsten Post wg. Hochladebeschränkung).

Ich bin jetzt völlig ratlos, habe zugegebenermaßen aber auch nicht so wahnsinnig viel Ahnung von der Materie. Ich kann mich in Foren einlesen und Anleitungen befolgen, aber wenn dann etwas hakt und ich bei der Suche nach dem Fehler nicht fündig werde, bin ich aufgeschmissen. Deshalb hoffe ich auf die geballte Forenpower.

Viele Grüße
Chris

[Kandarion]

Jetzt noch die Screenshots der Logs aus der Firewall zur OPNsense 21.1.8.1

[Kandarion]

Ich glaube, ich habe den Fehler schon selbst gefunden. In der Firewallregel bei "Direction" "in" anstatt "out" und es klappt, so wie das gerade aussieht. Wenn ich die Schedule jetzt um 14:36 bereits um 14:00 Uhr enden lasse, komme ich ins Netz, wenn ich sie wieder auf 15:00 Uhr stelle, wird geblockt.

Manchmal muss man nur etwas aufschreiben und kommt dann selbst auf die Lösung. Wobei ich mich tatsächlich frage, warum das bei einem Kind mit "out" funktioniert hat, da ich die grundsätzliche Regel nur kopiert hatte. Hmm...muss wohl versehentlich doch etwas verstellt haben...

Naja, Problem gelöst, kann also zu hier :-)

Für sachdienliche Hinweise, was ich vielleicht doch noch besser oder einfacher machen kann, bin ich natürlich immer dankbar :-)

Viele Grüße
Chris.

[chemlud]

zum 12309201304920291-mal:

IN und OUT sind aus Sicht des INTERFACES. Somit ist IN immer Traffic, der aus dem entsprechenden Subnetz zum Interface kommt. Und OUT wäre das Ziel des Traffics (anderes lokales Netz oder www). Immer Regeln mit IN erstellen.

[Kandarion]

Jajaja, Du hast ja recht  8)

Das ist halt für den (immerhin interessierten) Laien einfach so kontraintuitiv. Ich will, dass der Rechner nicht raus (also OUT into the www) darf. Und dann ist IN irgendwo nicht logisch. Klar, wenn man es aus Sicht der Firewall sieht, schon. Aber dahin muss ich erstmal gedanklich kommen. Und wenn ich nur alle Jubeljahre mal was am System ändern muss, mache ich den selben Denk-Fehler halt immer wieder :-[

Aber ich seh es in meinem Beruf auch. Einem Laien kann ich da auch nur schwer verständlich machen, dass das Girokonto im Minus auf der HABENseite der Bilanz steht ;-)