[SOLVED] Firewall blockiert trotz Regel

Started by Rocci, December 28, 2022, 02:08:52 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 28, 2022, 02:08:52 PM Last Edit: December 30, 2022, 11:55:06 AM by Rocci
Hallo zusammen,
nach Stunden der Suche im Internet und viel testen komme ich nicht weiter.
So sieht es im aktuell aus, dürfte jedoch erstmal keine Rolle spielen:

Code Select
      WAN / Internet
            :
            : PPPoE-Provider
            :
      .-----+-----.
      |  Gateway  |  (Digibox Smart als Modem)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.   
      |  OPNsense |
      '-----+------' 
            |
        LAN |
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Das Netzwerk ist noch aufgeteilt in VLANs.

Ich habe im gleichen Vlan mehrere Geräte welche gemeinsam auf einen lokalen Druckerserver (Einfaches kleines JavaTool vom Softwareanbieter, geht hier nur um die interne Synchronisation von Aufträgen, da der Rest der Software in der Cloud läuft, arbeitet auf den Ports 6767, 6768 und 6769)

Die Firewallregeln dachte ich verstanden zu haben, funktionieren auch soweit für jedes VLAN.
1. Pass - IN - FirstMatch: IPV4 TCP - Src: Staff Net -- Dst: Staff address - Port 52 
2. Block - IN - FirstMatch: IPv4* - Src: RFC1918 -- Dst: RFC1918
3. Pass - IN - First Match: IPv4* - Src: Staff Net -- Dst: *

Intern darf/kann keiner Kommunizieren, DNS und Internet funktioniert.

Natürlich müssen die Geräte jetzt mit dem 1 PC (mit dem Druckerserver) kommunizieren.
Erster Gedanke:
Regel zwischen 1. und 2.: Pass - IN - FirstMatch: IPv4* - Src: Staff Net -- Dst: ServerPcIP
-> Regel greift nicht, wird von Regel Nummer 2 geblockt (schön zu sehen in der LiveView der FW)

Aus Spaß umgedreht:
Regel zwischen 1. und 2.: Pass - IN - FirstMatch: IPv4* - Src: ServerPcIP -- Dst: Staff Net
-> Regel funktioniert (verstehe zwar nicht ganz warum) und lässt z.B. einen Ping durch
Jedoch sowie ich versuche auf die IP mit oben erwähnten Port zuzugreifen (http(s)://IP:Port im Browser, man kommt hier auf eine kleine Übersicht bezüglich Status des Servers), wird die Regel wieder übergangen und von Regel 2 blockiert.

Also dachte ich, Regel 2 deaktivieren -> dann greift jedoch die "default deny/ state violation rule".

Vermute fast, es wird einfacher sein als man denkt, aber scheinbar übersehe ich da etwas?
Alles andere Funktioniert soweit, Einwahl zur Telekom, VLans, alle anderen Regeln, DHCP...

Ich hoffe ich konnte mich verständlich genug ausdrücken und vielleicht hat einer eine Idee.

Danke und Gruß
Ferdinand



December 29, 2022, 03:35:56 PM #1 Last Edit: December 29, 2022, 03:37:58 PM by Rocci
Ich habe weiter herumprobiert, hier ein Screenshot der Firewallregeln, um das etwas übersichtlicher zu gestalten.

LAN: 192.168.10.0/24
VLAN Staff: 192.168.20.0/24 (falls relevant)
Zusatzinfo: es geht um ein Kassensystem von GastroNovi, konkret um folgenden Controller https://support.gastronovi.com/de/hardware/gn-controller-lokaler-server
Ich hatte das als Druckerserver bezeichnet, Controller passt besser.

Die gelb markierten Regeln waren quasi der erste Versuch das zu lösen, da hat aber die Regel mit RFC1918 blockiert, weil keine der vorherigen Regeln funktionierte.

Die 3 gelben habe ich dann deaktiviert und eine Konfiguration gemäß der OPNsense Doku (Gästenetzwerk) zu probieren.
Diese sind orange markiert. Gleiches Problem, Ping funktioniert, nur der Zugriff auf die IP der Kasse mit Port wird jetzt von der "default deny / state violation rule" blockiert.

Die blau markierte Regel wurde dann automatisch erstellt, als ich dies mit Port Forwarding probiert habe. Hierzu das 2. Bild.

Ich verstehe nach wie vor nicht, warum die "pass rules" nicht greifen, wenn der Port im Spiel ist. Habe die 2 gelb markierten auch mit TCP/UDP + Portangabe probiert... keine Änderung.
December 30, 2022, 12:03:54 PM #2
Servus zusammen,

das Thema kann geschlossen werden.

Kurz zur Lösung des selbst verursachten Problems:

1. Fehler: Ich habe doch tatsächlich die Subnetzmaske am "Server" PC falsch eingetragen  :(
-> dadurch kam es scheinbar dazu, dass die Firewall hier beim Zugriffsversuch blockiert hat.
--> Richtige Subnetzmaske und die Firewall blockiert nichts mehr, im Programm selbst ging es dennoch noch nicht  >:(

2. Nach einigen Suchen in der Dokumentation der Kasse fand ich etwas zu DNS Rebind und dass hierzu, wenn aktiv, eine Ausnahme hinzugefügt werden muss.
-> die passende Möglichkeit dazu habe ich auf die schnelle nicht gefunden, daher habe ich DNS Rebind deaktiviert und siehe da, alles funktioniert wie es soll  ::) ;D
Print
Go Up Pages1
User actions