Home
Help
Search
Login
Register
OPNsense Forum
»
Archive
»
22.1 Legacy Series
»
HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
« previous
next »
Print
Pages: [
1
]
Author
Topic: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet (Read 3155 times)
itsc
Newbie
Posts: 10
Karma: 0
HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
on:
May 03, 2022, 07:39:26 pm »
Good evening,
I am Loocking for help to get this case working.
I learn Opnsense The Last 5 Werks , so i am new.
I use Version 22.1.6
My Network is 192.168.49.0/24
DHCP Range is 192.168.49.10 - 192.168.49.140
I have a Domain
A DC (Domain Controller) works as DHCP Server
My Goal is to allow only the DHCP Range devices Access the Internet.
What i have tryed?
- Trying to create an Alliase / Host’s containing the DHCP Range - i fail (Error … is Not a valid ip Adress)
- on Alliase Netwotk‘s i have create the DHCP Range Without error Message but it‘s Not working with the Firewallrule
my Firewall rule was
- Block
- Source = Alliase grp_DHCPrange
- Source invert = yes (to Block all and allow only the Alliase)
- ipv4
- Any
- Any
i Hope anybody can help me. Thank You
«
Last Edit: May 04, 2022, 10:41:30 am by itsc
»
Logged
EdwinKM
Full Member
Posts: 155
Karma: 5
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #1 on:
May 03, 2022, 08:05:08 pm »
Please explain exactly what you want. You made a lot of spelling mistakes.
Do you want to block unregistered users on your network? (so plugging in a cable in your router/switch).
Or do you want people grant internet access but do not want them to access your private LAN. (systems)
Logged
itsc
Newbie
Posts: 10
Karma: 0
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #2 on:
May 03, 2022, 08:26:28 pm »
Hallo,
I looking for a rule to allow Internet Access for all devices how get an ip-adress from the dhcp Range. All ips they are Not using a dhcp Range ip-adress are have to be Blocked.
Trank YouTube
Logged
EdwinKM
Full Member
Posts: 155
Karma: 5
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #3 on:
May 03, 2022, 09:24:20 pm »
Sorry, still unclear.
Your network is 192.168.49.0/24 and your DHCP range is starting at .10.
(Untrusted) people can get a network cable and assign themselves a IP in the complete network range (192.168.49.2 - 192.168.49.254). You can not really avoid this. You can probably use a MAC addresses whitelist only but that can be spoofed also. Physical access is futile to try to block in my opinion.
A common setup is to create a wireless "guest" network to grant family/friends access to the internet. But you do not want them to access your private systems.
But you start again with a technical question and failed to explain *why* you want this. What is the end goal. WHO do you want to block? So i can not decide if you asking the correct questions.
Update:
Your German post explained it a bit. And the other systems seems yours as well. I think it is a good rule to try to keep similar systems (with similar rights) to their own network. So, create a "server" (lan) network for important stuff (lets say: 192.168.49.x/24). Create another network for your guests (wifi, lets say 192.168.49.x/24). And you can create another network for IOT devices (50.x, like printers). After that you can create rules that 49.x is allowed to IOT but not the other way around. Create a rule to block internet access from IOT.
Also note. if you create for example the 1-network setup and you have 2 systems. 192.168.49.2 and 192.168.49.3. You can *NOT* block traffic between those 2 devices. Simply because no ROUTING is needed. It will only talk to your switch and never reach the router.
Everything on 1 network with firewall rules should be possible for "internet access" but there is not something like "below 10 should not" with firewall rules.
You will have to create rules per IP to allow/disallow stuff.
I would not recommend it.
Logged
itsc
Newbie
Posts: 10
Karma: 0
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #4 on:
May 03, 2022, 11:48:45 pm »
Hallo,
ich antworte jetzt einfach auf deutsch.
Erstmal vielen Dank für Ihre bisherige Mühe.
Sie haben meine Fragestellung wohl falsch verstanden. Es geht nicht um VLAN usw..
Ich habe ein Netzwerk 192.168.49.0/24 das geht also vom 192,168.49.1 bis 192.168.49.254 .
Auf dem DC Server ist ein IP-Adresse Bereich konfiguriert beginnend 192.168.49.10 bis 192.168.49.140 .
Ich kenne keinen Ip-Adress Bereich der bei 0 oder 1 anfängt.
Seit Jahren bekommen sich an der Domäne anmeldende PC‘s ein freie Ip-Adresse aus dem definierten Bereich per DHCP zugewiesen. Alle anderen ip-Adressen sind für statische Zuweisungen vorgesehen. Um sich aus dem möglichen statischen Bereich zu bedienen müsste man Administrationsrechte haben. Um das geht es aber auch nicht.
Was möchte ich erreichen?
Ich möchte eine Ip-Adressen Gruppe (Aliase) mit Inhalt meiner Ip-Range definieren. Mit dieser Gruppe möchte ich dann eine Firewall Regel erstellen die nur den in der Gruppe enthaltenen Ip-Adressen Internet Zugriff gewährt. Allen anderen aber nicht.
Ich weis das die Firma Securepoint eine solche Funktion in Ihrem Produkt Black Dwarf in Ihrer Firewall Konfiguration ermöglicht. Das möchte ich auf der Opnsense nachstellen.
Warum ich das machen möchte?
1. Weil es richtig ist zu wissen was im Netzwerk vor sich geht
2. Weil nur gewünschte Geräten ein Internetzugriff gewährt werden soll
3. Weil mit dieser Technik Geräte leicht per ip gruppiert werden können um diesen dann bestimmte Regeln zugewiesen werden können.
4. Weil ich selbst es nicht fertiggebracht habe überhaupt ein Alliase entsprechend zu definieren ohne, bereits genannte Fehlermeldung. Egal ob mit Alliase / Host‘s oder mit Alliase / Netzwerk‘e
5. Weil ich nicht glauben kann dass das mit Opnsense nicht gehen soll.
Ich hoffe das ich mein Anliegen ausführlich erklärt habe.
Wenn jemand weiß wie es machbar ist, dann schon mal vielen Dank im Voraus.
Mit freundlichen Grüssen
Logged
EdwinKM
Full Member
Posts: 155
Karma: 5
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #5 on:
May 04, 2022, 01:13:27 am »
I'll will answer in English. Can not write German.
I think i understood your use case. I tried to present a (better) altnative.
The rule of thumb is that ALL systems on ONE network (subnet) can talk to each other. That should be the starting point. To make it clear. If you use a NORMAL network switch, then all connected devices can talk to each other. You can not block this using Opnsense. Simply, because the switch (L2 OSI) will manage this and the traffic will never reach the router.
Yes, i know some Wifi Access points do something like "guest isolation". So, they can not "see" each other even on the same subnet. I assume this is usually enforced by the built in (smart) switch.
So, with normal opnsense it should be possible to allow some ranges to access/deny traffic to the internet. (all clients NEED to pass through the router to access the internet). Your current use case is possible. You can create an alias with all hosts and make to firewall rules.
But in the future you want probably to disallow your printer to start a connection to your nas on the SAME network. You can not disallow this. Not without specials hardware.
To sum it up. i would advice to just create multiple networks. And that probably also means that you have to buy a managed (vlan aware) switch and vlan aware AP. Makes you setup logical and save.
Or use the Securepoint device which includes this smart switch and probably made it really simple for end-users. But inflexible for additional use cases.
Logged
itsc
Newbie
Posts: 10
Karma: 0
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #6 on:
May 04, 2022, 10:30:04 am »
Hallo,
vielen Danke für Ihr bemühen zum Thema.
Leider ist es für mich wenig Fruchtbar.
Ihre Ausführungen sind sicher gut gemeint. Danach habe ich aber nicht gefragt.
1.
Konkret wollte ich Wissen ob es aktuell einen Weg gibt und wenn ja, dann wie zum Beispiel,
einen Alliase anzulegen das einen IP-Adress Bereich zum Inhalt hat.
Versucht man es wie in der Dokumentation beschrieben,
- Alliase / Host's funktioniert es nicht. (Error ".. is not a valid ip-Adress..")
- Alliase / Netzwerk'e funktioniert es nicht. (Error ".. is not a valid ip-Adress..")
Also kennt jemand einen Weg (Workaround) der Funktioniert?
2.
Als Firewall Regel hätte ich nach einem Beispiel gefragt wie man erreichen kann, nur diesem (im Alliase)
angelegten IP-Adress Bereich den Internet Zugang zu erlauben.
Ich denke das die Invertieren Möglichkeit hierbei nützlich sein kann. bin da aber unsicher.
Sollten Sie konkret zu Punkt 1 und / oder 2 einen klaren Vorschlag / Beispiel geben können nehme ich es gerne an. Wenn nicht auch gut.
Aber Bitte lassen sie es gut sein mit Ihren wohlgemeinten Ausführungen.
Die Kunst im Support ist sich selbst zurück zu nehmen. Und das Wissen das es keine gaussche 'Lösung Glocke' gibt. Die Wirklichkeit der Anforderungen in der Realität sind halt doch oft anders als in der Theorie.
Wenn ich wüste wie, würde ich diese ganze Kommunikation Löschen. Sie führt zu nichts.
Mit freundlichen Grüßen
Logged
itsc
Newbie
Posts: 10
Karma: 0
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #7 on:
May 04, 2022, 10:36:47 am »
Hallo nochmal,
wegen doppelpost, ich habe erst im deutschen Forum geschrieben und dann auf englisch im englisch sprachigen Forum. Das als doppelpost zu deklarieren ist nicht verständlich. Wie soll ich den auf Hilfe hoffen können wenn ich das selbe Thema nicht auch in anderen sprachen posten darf um auch diese anders sprachigen Quellen nutzen zu können?
Seltsam ..
Mit freundlichen Grüßen
Logged
KHE
Full Member
Posts: 229
Karma: 18
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #8 on:
May 04, 2022, 10:43:18 am »
Ok, do make it a little bit clearer what the OP wants:
He wants to create an alias for an ip range. He wants to use this alias to allow only the clients from this ip range to access the internet. Noting more, nothing less.
Creating the alias for the ip range fails. This is the problem. It seems, that this does no longer work since release 22.1.4_1. There is a thread about this issue, look
here
. Unfortunately there is no solution yet.
KH
PS: to correct myself, there seems to be a solution, which will come in 22.1.7:
https://github.com/opnsense/core/issues/5723
«
Last Edit: May 04, 2022, 10:45:22 am by KHE
»
Logged
EdwinKM
Full Member
Posts: 155
Karma: 5
Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
«
Reply #9 on:
May 04, 2022, 10:46:43 am »
Yes, i was suspecting a bug also because of "is Not a valid ip Adress".
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
Archive
»
22.1 Legacy Series
»
HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet