Hetzner Firewall und OPNsense

Started by phil1710, September 18, 2021, 03:46:08 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 18, 2021, 03:46:08 AM
Hallo zusammen,
ich habe ein DNS Problem mit meiner OPNsense im zusammenhang mit der Hetzner Firewall.
Wenn ich die Regel 32768-65535 TCP/UDP eintrage, ist meine DNS Auflösung in der VMs hinter der OPNsense extrem langsam, bzw löst manche Internetseiten garnicht auf.
Erweiter ich den Portbereich auf 10000-65535, funktioniert die Auflösung schon deutlich besser.
Gibt es irgend eine möglichkeit die OPNsense so anzupassen, das sie mit dem kleineren Portbereich
(32768-65535) klar kommt?

Schonmal vielen Dank für eure Antworten,
grüße Philip
September 18, 2021, 06:50:26 AM #1
Warum willst Du den Bereich für den Source Port einschränken? Normal ist 1024-65535.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 18, 2021, 07:58:44 AM #2
This is possible via a sysctl on your servers, however I would recommend to use the RFC compliant range mentioned in the previous posting.

https://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap6sec70.html
September 18, 2021, 12:12:32 PM #3
Ich möchte so viele Ports wie möglich vor den VMs sperren, auch schon vor der OPNsense
. Es hängt neben der OPNsense noch ein paar andere VMs am Netz. Das der DNS nicht funktioniert muss an der OPNsense liegen. Die VMs die direkt am Netz hängen haben keine Probleme mit der Namensauflösung.

Gibt es keine Lösung das irgendwie an der Sense anzupassen?
September 18, 2021, 01:06:21 PM #4
Auch Deine anderen VMs benutzen Ports von 1024 bis 65535 als Source für ausgehende Verbindungen.
In welcher Richtung willst Du denn was genau sperren?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 18, 2021, 02:13:50 PM #5
Ahh sorry,
Ausgehende Vebrindungen sind aktuell so weit noch alle offen.
Es geht mit hier jetzt grade nur um eingehend.
Hätte ich eventuell besser formulieren sollen  :)
September 18, 2021, 02:53:32 PM #6
Sorry dann verstehe ich deine Argumentation aber nicht. Du willst eingehend VOR deiner Firewall nochmal mit einer anderen Firewall sperren, sperrst aktuell zu viel und hast deshalb Probleme.

Lösung: Lass den Hetzner Filter davor weg, dafür HAST du eine richtige Firewall (OPNsense) dahinter mit der du voll filtern kannst. Was soll es also das vornedran wegzufiltern außer dass alles komplizierter wird wenn man Fehler sucht?

Ansonsten verstehe ich das Problem von DNS Seiten nicht. Hetzner hat in der UI zwei Filtermöglichkeiten. Ein- und ausgehend. Wenn du ausgehend offen hast (was du solltest), dann ist nur eingehend ein "Problem". Du sprichst aber mit VMs nach draußen (wegen DNS?), sollte also kein Thema sein, was du da eingrenzt. Verstehe also die Problematik gerade nicht.

Außer du sprichst von anderen Hetzner Firewalls als dem Firewall Cloud UI. Denn das ist AFAIK Stateful und hat die Probleme nicht.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions