Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Anfängerfrage zu Regeln
« previous
next »
Print
Pages: [
1
]
Author
Topic: Anfängerfrage zu Regeln (Read 1361 times)
n3
Newbie
Posts: 16
Karma: 0
Anfängerfrage zu Regeln
«
on:
October 19, 2023, 02:23:12 pm »
Hallo Zusammen,
ich habe mehrere Interfaces und zwei davon sind LAN und OUTDOOR (Wallboxen). Ich würde jetzt gern die Firewall so konfigurieren, dass OUTDOOR ausschließlich auf das Internet wegen Updates zugreifen kann und auf die Wallboxen nur ausgewählte Geräte aus LAN zugreifen können.
Ich wollte erst einmal den Zugriff komplett Blocken und dann die Freigaben erstellen, aber es funktioniert nicht so wie es erwarte. Obwohl ich den gesamten incomming Traffic blocke, habe ich weiterhin Zugriff auf die Wallboxen und diese auch ins Netz. Erst wenn ich den outbound Traffic sperre, komme ich nicht mehr auf die die Wallboxen.
Die states habe ich alle gelöscht.
Liegt es ggf. daran, dass ich bei LAN alles erlaubt habe, oder muss ich hier mit outbound direction arbeiten? Hatte nur gelesen, dass man diese eigentlich nicht verwendet.
OUTDOOR
LAN
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Anfängerfrage zu Regeln
«
Reply #1 on:
October 19, 2023, 06:44:39 pm »
Die any Regel im LAN erlaubt es auf alle Netze zuzugreifen, auch auf die im Wallbox Netz.
Am besten schränkst du diese Any Regeln erstmal ein.
Mache einen Alias:
Name: InternetIPv4
Type: Network(s)
Content: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 127.0.0.0/8
Description: Internet IPv4 - use inverted
Wenn du kein IPv6 benutzt deaktiviere die zweite any Regel.
Setze diesen "InternetIPv4" alias in deine LAN Regel als "Destination" ein, und hake "Invert" an. Jetzt kann dein LAN nur noch ins Internet kommunizieren.
Darüber setzt du dann einzelne Regeln (mit Direction in) die es Clients erlauben, auf das Wallbox Netz zuzugreifen.
Logged
Hardware:
DEC740
n3
Newbie
Posts: 16
Karma: 0
Re: Anfängerfrage zu Regeln
«
Reply #2 on:
October 20, 2023, 12:51:04 pm »
Hey Monviech,
Danke für die Hilfe. Ich hab noch paar Fragen und ich glaube es hilft, wenn ich noch paar Infos teile:
192.168.1.0/24 ADMIN (proxmox, opnsense, homeassistant, etc.)
192.168.2.0/29 OUTDOOR (wallboxen)
192.168.3.0/24 LAN (Clients, Drucker, etc.)
Wenn ich nun das Alias so anlege, würde ich mein LAN sehr stark beschneiden und müsste viel konfigurieren. Ziel ist es, dass das LAN standardmäßig untereinander kommunizieren darf, aber nicht zu ADMIN und OUTDOOR. Nur gezielte Clients aus LAN sollen auf ADMIN und OUTDOOR zugreifen können. OUTDOOR soll ausschließlich ins Internet und da am besten auch nur bestimmte IPs. ADMIN dar nur gezielt untereinander und gezielt in die anderen Netzwerke.
Wenn ich es richtig verstanden habe, würde ich jetzt ein Alias für ADMIN und OUTDOOR anlegen. Anschließend über "Direction in" Regeln definieren welcher Service mit wem kommunizieren darf. Richtig?
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Anfängerfrage zu Regeln
«
Reply #3 on:
October 20, 2023, 01:54:39 pm »
Hallo n3
Dein LAN kann uneingeschränkt miteinander kommunizieren, weil sie in der selben Broadcastdomain sind. Die Anfragen von einem LAN Client zu einem anderen LAN Client werden nicht zur Firewall gesendet. Alle Clients am selben Switch im selben VLAN kommunizieren direkt miteinander.
https://networklessons.com/cisco/ccna-routing-switching-icnd1-100-105/broadcast-domain
Den Alias für admin und outdoor musst du nicht anlegen, die gibt es vordefiniert als "Admin net" und "Outdoor net", so wie die Interfaces in der Firewall dafür heißen.
Im LAN machst du erstmal die Internetregel so wie ich sie gezeigt habe. Und davor setzt du die "Direction in" regeln mit "Quick" die dann Verkehr für das Routing in die anderen Broadcastdomains "Admin" und "Outdoor" matchen und den Verkehr dahin erlauben.
Logged
Hardware:
DEC740
n3
Newbie
Posts: 16
Karma: 0
Re: Anfängerfrage zu Regeln
«
Reply #4 on:
October 20, 2023, 02:41:02 pm »
Hm, ich dachte man kann innerhalb eines Netzwerks uneingeschränkt kommunizieren, ich aber einzelne Verbindungen unterbinden kann. Sprich wenn PC1 nicht auf den Drucker zugreifen soll, dass ich das mit einem Deny festlegen kann. Aber ja, die FW regelt nur den Traffic zwischen den Netzwerken. Ich müsste dann mit weiteren vlan ids arbeiten.
Ich hätte aber noch zwei Fragen
1. Soll ich wirklich 192.168.0.0/16 nehmen, oder könnte ich nicht auch 192.168.3.0/24 nehmen?
2. Wo ist der Unterschied zur folgenden Regel?
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Anfängerfrage zu Regeln
«
Reply #5 on:
October 20, 2023, 02:51:20 pm »
Die Netzwerke sind nicht ohne Grund so gewählt für die Regel. Es sind die standartisierten RFC1918 Netze (Private IPv4 Netzwerke).
https://datatracker.ietf.org/doc/html/rfc1918#section-3
https://github.com/opnsense/core/issues/4949
Die Regel die du im Bild erstellt hast, erlaubt den Zugriff auf den Alias "WAN net". Dieser ist das Netzwerk, welches an deinem WAN Interface anliegt. Also wenn du dort z.B. die IP 1.1.1.1/32 anliegen hast, darf dein LAN nur mit der IP 1.1.1.1 kommunizieren. Für Internetzugang ist diese Regel ungeeignet.
Zur Netzwerksegmentierung: Hier am besten pragmatisch vorgehen. Eine zu hohe Segmentierung nützt nicht viel. Außerdem, Clients haben in der Regel auch Personal Firewalls (z.B. Windows Defender Firewall oder in Linux UFW). Wenn die richtig eingestellt sind, dann ist auch der Zugriff im LAN schnell sauber eingeschränkt. Hier gibt es spezielle Produkte für die Endpoint Protection, um Personal Firewalls zentral zu steuern.
«
Last Edit: October 20, 2023, 03:02:32 pm by Monviech
»
Logged
Hardware:
DEC740
n3
Newbie
Posts: 16
Karma: 0
Re: Anfängerfrage zu Regeln
«
Reply #6 on:
October 23, 2023, 11:49:00 am »
Danke für die Erläuterung! Ich habe mich am WE etwas damit mehr auseinandergesetzt und verstehe es jetzt besser. Deine Regel erlaubt Zugriff auf alle Adressen, außer der Adressen, die für private Netzwerke reserviert sind. Daher erlaube ich damit den Zugriff auf das Internet, aber eben nicht auf die anderen Clients in meinem Netzwerk.
Die Regel muss ich aber für jedes Interface anlegen, welches ins Internet muss. Richtig? Ich frage hier nur, weil ich es aktuell für meine OUTDOOR Interface nicht eingerichtet habe, aber die Wallbox scheinbar ins Internet kommt. Wenn ich auf die Update Seite der Wallbox gehe, zeigt sie mir die im Internet verfügbare Version an. Eigentlich sollte das ja nicht gehen. Es könnte aber auch nur ein zwischengespeicherter Wert sein.
Ansonsten müssten meine Regel jetzt final sein. Ich könnte den Zugriff auf das ADMIN net (proxmox, opnsense, mqtt, homeassistant, etc.) noch weiter einschränken, in dem ich nur die IPs mit Ports freigebe, aber ich glaube das wäre etwas overengineered.
Aktuell hängt am WAN ein Speedport der Telekom. Ich würde diesen jedoch gern wegnehmen und opnsense die Verbindung ins Internet direkt über das Glasfasermodem aufbauen lassen. Wäre die FW hierfür richtig konfiguriert, oder sollte ich noch etwas beachten?
OUTDOOR
LAN
ADMIN
WAN
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Anfängerfrage zu Regeln
«
Reply #7 on:
October 23, 2023, 12:21:58 pm »
Die Regeln sehen gut aus. Du hast die Internet Regel richtig verstanden.
Ja jedes Interface was ins internet soll braucht so eine Regel. Da im Outdoor Interface keine Regeln angelegt sind kann dort auch kein Gerät ins Internet.
Zum Thema mit dem Speedport und Glasfaser kenne ich mich nicht so gut aus.
Logged
Hardware:
DEC740
n3
Newbie
Posts: 16
Karma: 0
Re: Anfängerfrage zu Regeln
«
Reply #8 on:
October 23, 2023, 12:58:26 pm »
Super, vielen lieben Dank, dass du noch einmal drüber geschaut hast.
Beim Glasfaser ging es mir eher darum, ob die Regeln der Firewall richtig sind. In den ganzen Anleitungen etc. wird darauf nicht eingegangen und ich will nicht durch eine falsche Config, dass mein Netzwerk ungewollt irgendwie im Netz erreichbar. Solange ich aber keine Regel im WAN Interaceanlege, sollte das ja nicht der Fall sein.
Logged
Monviech (Cedrik)
Global Moderator
Hero Member
Posts: 1601
Karma: 176
Re: Anfängerfrage zu Regeln
«
Reply #9 on:
October 23, 2023, 01:02:56 pm »
Bis jetzt bekommt deine OPNsense halt von dem Speedport eine interne IPv4 Adresse auf das WAN interface.
Der Speedport kümmert sich um die Einwahl beim Provider (wahrscheinlich PPPoE, ich glaube nicht dass du reines Ethernet bekommst) Es kann Dual Stack sein, DS-Lite, DS-Lite mit AFTR Gateway, GIF Tunnel... etc.
Schnell umstecken geht wahrscheinlich eher nicht.
Logged
Hardware:
DEC740
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Anfängerfrage zu Regeln