Erstinstallation

[kosta]

Ich würde:
AP am Switch hängen, IP aus LAN vergeben, Gateway am AP ist OPNsense.

[KHE]

Hi,

Ok, Danke da das Studium noch andauern wird, einfache Frage.

Wer kann konkret mir weiterhelfen bzw. nennen was getan werden muss:

opnsense hat 4 nic's, von opnsense aus gesehen 
1. LAN(green) -> Switch -> Client's
2. WAN(red) -> Speedport -> WWW
3. WLAN -> Access Point  -> all Mobil
4. nicht zugewissen

Problem nach wie vor kein Mobil hat Internet, warum?

nur das LAN Interface bekommt bei der Installation eine Firewall-Regel zugewiesen, welche den Geräten im Netzwerk erlaubt, Daten überallhin zu senden. Alle anderen Interfaces dürfen ohne explizite Firewall-Regel keine Daten senden. D.h. du muss die Firewall-Regel von LAN ins WLAN kopieren.

Gruß KH

[bigboy]

thx ok, habe mal ein WLAN Regel eigenständig angelegt, muss sagen es geht heureka.

Dennoch anbei die Regel in zwei Bilder geteilt, schaut bitte mal drüber ob es so ok ist, oder ...?

[kosta]

Ich sag jetzt mal so: wenn du deine OPNsense mit solchen Regeln bestückst, da kannst du gleich nen billigsdorfer Asus SOHO-Router o.ä. von der Stange nehmen.
Heißt: das ist die Rule die alles überall erlaubt. Ausgehend vom Gerät, IN zum Intf, da aber auf den Intf by Default "OUT" erlaubt ist, ist damit alles offen.

Ist im Einsatz einer Firewall ganz und gar nicht sinnvoll. Fürs Troubleshooting vielleicht OK so eine (deaktivierte) Regel zu haben, aber viel besser ist es in Live Log zu gucken und schauen ob was geblockt wird. (und bitte auf keinen Fall am WAN eine solche Regel erstellen!). Das schlechte bei solchen Regeln ist eben dass man sie dann irgendwann gerne vergisst/übersieht...

Und du musst natürlich beide Interfaces mit Regeln bestücken, wie schon vorher erwähnt, nur LAN Intf. bekommt eine All Out Regel, andere Intf. sind bei der Neuerstellung leer.

[bigboy]

Ok klingt nicht so gut, wie könnte die Regel aussehen und dennoch mit den Geräten an der WLAN Schnittstelle ins Netz (www) zu kommen, bzw. wie habt es Ihr gemacht?

[kosta]

Oh Mann.
Wie? Mit einigen Regeln. 
Guckst im Live Log und trägst Regeln ein.

IMO: way over your head.

[lfirewall1243]

Ok klingt nicht so gut, wie könnte die Regel aussehen und dennoch mit den Geräten an der WLAN Schnittstelle ins Netz (www) zu kommen, bzw. wie habt es Ihr gemacht?

Dazu brauchst du nichtmal in erster Linie im LiveLog schauen.

Was benötigst du denn für das Aufrufen von Webseiten?
DNS, http und https

[lfirewall1243]

Ich sag jetzt mal so: wenn du deine OPNsense mit solchen Regeln bestückst, da kannst du gleich nen billigsdorfer Asus SOHO-Router o.ä. von der Stange nehmen.

Und das stimmt eben nicht.

[kosta]

Zugegeben hatte ich schon sowas lange nicht, aber vor 10 Jahren konnten die Dinger echt nix und haben alles rausgelassen. Hat sich was geändert?

[lfirewall1243]

Zugegeben hatte ich schon sowas lange nicht, aber vor 10 Jahren konnten die Dinger echt nix und haben alles rausgelassen. Hat sich was geändert?

Bei der OPNsense geht es ja nicht nur um das regeln simpler FW Rules.
Selbst wenn man auf dem LAN eine Allow Any Regel lässt, kommen dennoch viele weiter Funktionen hinzu.

IDS/IPS, Sensei, Webproxy,......

Wenn opnsense für dich nur aus FW-Regeln besteht und du auch NUR damit versucht dein Netzwerk abzusichern, verschwendest du Recht viel Potential.

[kosta]

Natürlich nicht, und ich nutze die Sense vielseitiger und expandiere und lerne noch immer. Aber any/any ist trotzdem Verschwendung des Potenzials (schon mal abgesehen von der Sicherheit alleine) und ich ziehe meine Aussage daher zurück.

[bigboy]

thx für die Beteiligung, könnt mir das an einem Beispiel (Regel für WLAN als Bild) irgendwie verdeutlichen.
Sowie eine Buch Empfehlung nennen.

[kosta]

Es gibt keine „Regel für WLAN“.
Lese mal da:
https://docs.opnsense.org/manual/firewall.html

[bigboy]

Irgendwie ist die opnsense vie, viel kompliziert.
Wenn es keine Ausnahme gibt wie sollen meine Mobilen Geräte dann ins Netz kommen

[kosta]

Viel komplizierter als was?
Was für Ausnahme?
Warum schaust du bitte nicht im Live Log was geblockt wird und versuchst dafür die Rules zu erstellen??
Üblicherweise DNS, HTTP, HTTPS fürn Anfang…
Oder bleib doch bei any/any… bis du mal lernst.

Mir kommt so vor als du erwartest dass dir jemand die Sache serviert und für dich konfiguriert?