Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Firewall Regel - Netzwerke untereinader verbinden
« previous
next »
Print
Pages: [
1
]
Author
Topic: Firewall Regel - Netzwerke untereinader verbinden (Read 2685 times)
gerald_FS
Newbie
Posts: 18
Karma: 0
Firewall Regel - Netzwerke untereinader verbinden
«
on:
September 10, 2022, 11:30:19 am »
Hallo zusammen!
ich richte gerade meine erste eigenen Installation mit OPNSense ein.
Grundsätzlich funktioniert es wie es sein soll, aber - und jetzt kommt es - ich will was realisieren was man im Regelfall nicht tut.
Und daran scheitere ich
Im "LAN" befinden sich meine Server/Rechner/Drucker.
Zusätzlich habe ich drei VLAN angelegt, jedes VLAN für sich funktioniert und ist getrennt zu den anderen.
Jetzt soll aber ein Rechner aus dem IoT-Netz erreichbar sein und auch darauf zugreifen.
Dies wird jedoch durch eine automatisch erstellte Regel immer blockiert - egal was ich für Regeln in VLAN "IoT" und/oder LAN erstelle.
Wie kann ich dieses Problem lösen?
Würde gerne die verbiete alles an das Ende stellen.
Oder wie muss meine Regel aussehen?
Nachdem mein Erfahrungsschatz sehr klein ist, brauche ich Eure Hilfe!
Liebe Grüße
Gerald
«
Last Edit: September 10, 2022, 11:38:29 am by gerald_FS
»
Logged
Bob.Dig
Sr. Member
Posts: 253
Karma: 13
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #1 on:
September 10, 2022, 12:03:04 pm »
Jetzt zeige noch deine Regeln und Dir kann geholfen werden.
Logged
gerald_FS
Newbie
Posts: 18
Karma: 0
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #2 on:
September 10, 2022, 12:33:00 pm »
Klar, sorry - ich hoffe man schreibt es so
IoT
erlauben - eingehend - alles
erlauben - ausgehend - alles
erlauben - eingehend - aus LAN-Netzwerk - Ziel IoT-Adresse
erlauben - eingehend - aus LAN-Netzwerk - Ziel LAN-Adresse
LAN
erlauben - eingehend - alles
erlauben - ausgehend - alles
erlauben - eingehend - aus IoT-Netzwerk
Logged
Bob.Dig
Sr. Member
Posts: 253
Karma: 13
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #3 on:
September 10, 2022, 01:20:46 pm »
Also mit den Regeln wird eh alles erlaubt... was soll denn damit bitte geblockt werden (screenshot)?
Logged
gerald_FS
Newbie
Posts: 18
Karma: 0
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #4 on:
September 10, 2022, 01:32:42 pm »
Stimmt - zum testen habe ich alles freigegeben....
«
Last Edit: September 10, 2022, 01:41:11 pm by gerald_FS
»
Logged
Bob.Dig
Sr. Member
Posts: 253
Karma: 13
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #5 on:
September 10, 2022, 04:30:43 pm »
Mein Tipp wäre nicht mit irgendwelchen ausgehend Regeln anzufangen, als Beginner sollte man nur die eingehenden (aus Sicht der Firewall) Regeln benutzen, ausgehenden löschen und nochmal versuchen. Dann bei Problemen hier die Regeln zeigen, wo es hakt.
Logged
Tuxtom007
Hero Member
Posts: 502
Karma: 25
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #6 on:
September 11, 2022, 07:55:31 am »
Ich hänge dir mal einen Screenshot einer meiner Regel zwischen zwei VLAN an.
Ich arbeite mit Aliases, in dem Fall wird der Zugriff eines Servers auf das IoT-Vlan komplett freigeschaltet.
Als Source trägst du dann eben dein Netz ein.
Eine Deny-all Regel kommt dann am Schluss, kann man machen
Und immer dran denken, dei Regeln werden nach dem Prinzip:
- Top-to Down
- first match
abgearbeitet, also von oben nach unten und nach dem ersten Treffen werden die nachfolgenden ignoriert.
Logged
gerald_FS
Newbie
Posts: 18
Karma: 0
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #7 on:
September 11, 2022, 11:55:32 am »
Guten Morgen!
Danke für Ihre Hilfe!
Das Problem saß vor dem Rechner
Da ich gerade mein gesamtes Netzwerk umgebaut habe und immer nur Schritt für Schritt gemacht habe, lief mein alter Server noch, darauf war ebenfalls eine Firewall und die beiden haben nicht so miteinander harmoniert.
Die alte abgeschalten und alles läuft - so jetzt kann ich auch entsprechend die Regeln erstellen
Frage gibt es Musterkonfiguration von Regeln?
Liebe Grüße
Gerald
Logged
JeGr
Hero Member
Posts: 1945
Karma: 226
old man standing
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #8 on:
September 13, 2022, 12:03:54 pm »
> Frage gibt es Musterkonfiguration von Regeln?
Nein gibt es nicht, das wäre zu divers denn irgendwem würde garantiert immer irgendwas fehlen.
Allerdings noch ein Hinweis: man sollte gerade zu Beginn tunlichst vermeiden "AUSgehende" Regeln auf den Interfaces zu erstellen, wenn man den Flow und Ablauf der Pakete und die Arbeitsweise des Paketfilters noch nicht intus hat. Allermeistens kommt bei irgendwelchen händischen outbound Regeln quatsch raus, der nicht notwendig ist oder im Zweifelsfall noch kontraproduktiv. Also nicht einfach irgendwelche Regeln mal so mal so erstellen bis irgendwann was funktioniert.
Beispiel findet sich in deinen Screenshots: auf IoT ausgehend(!) LAN Netz auf LAN Addr zu erlauben bringt hier gar nichts, denn der Traffic wird sich auf IoT nicht finden sondern nur auf dem LAN Interface zutragen.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Mks
Sr. Member
Posts: 272
Karma: 19
Re: Firewall Regel - Netzwerke untereinader verbinden
«
Reply #9 on:
September 13, 2022, 10:01:35 pm »
Hallo, ich bin bei JeGr sich erstmal mit den Basics von Opnsense zu beschäftigen, alles andere ist raten, lass dich nicht von "eingehend" "ausgehend" verwirren, zu 99% benötigst du nur eingehende Regeln was soviel bedeutet das Paket wird geprüft wenn es in (eingehend) die Firewall kommt (egal von welchem Interface). Schau mal hier rein,
https://docs.opnsense.org/manual/firewall.html#processing-order
.
Dann sollte klar sein was mit "eingehend" und "ausgehend gemeint ist.
Um einen Rechner im IOT Netz vom LAN Netz zu erreichen gehst du folgendermaßen vor:
Interface: LAN
Direction: In
TCP/IP Version: <was du brauchst>
Protocol: <was du benötigst, idR TCP und/oder UDP>
Source: any
Destination: <IP vom Rechner im IOT Netz>
Port: <was du benötigst>
Aus Sicht der Firewall bedeutet das:
Die Firewall prüft das eingehende Paket am LAN Interface und lässt den Zugriff auf den Rechner im IOT Netz zu. Trifft eine der Bedingungen nicht zu (Protokoll, Port, Source Destionation, ...) wird das Paket verworfen.
Beispiel Internet Traffic zulassen: Wenn man mit OpnSense nicht vertraut ist würde man intuitiv annehmen eine ausgehende Regel bei WAN zu erstellen, dem ist aber nicht so.
Du erstellst am LAN Interface eine Regel das dort (am LAN Interface) eingehende Pakete Systeme im Internet erreichen können.
Hoffe das hilft.
lg
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Firewall Regel - Netzwerke untereinader verbinden