Iphone Firewall Regeln

[Matmax]

Moin,

in meinem Basis-Setup habe ich im Prinzip soweit alles im Griff - es gibt mehrere VLAN's und normale Geräte tun was sie sollen oder eben nicht sollen.

Problem: Ich kann per IPhone das Main LAN/OPNSense nicht aus einem VLAN erreichen
Ziel: Benutzer im User VLAN sollen OPNSense nicht erreichen, ABER eine Gruppe von "sicheren" PC's und mein IPhone

Ich finde keine Regel, in der ich aus dem USER VLAN in meinem Falle 192.168.1.1 (OPNSense) erreiche - nicht per PING und schon gar nicht https.

Ich habe mal ein ASCII Diagramm gemahlt, ich denke alles ist Standard, wie der Anfänger das so auf Youtube "lernt" ;-) Auf meinem Mac funktioniert alles, ich kriege ne IP für USER und die Regeln greifen, um die OPNSense Oberfläche zu öffnen (kopierte Standard Rule).
Das IPhone geht auch ins USER Netz, kriegt ne IP - alles gleich. ABER: jeder Ping ausserhalb dem USER Netz schlägt fehlt, wobei interessanterweise die Route vom IPhone USER Netz nach LAN Netz nach draussen geht (10.14.172.62 - k.A. woher die kommt) und insofern keine Regel greift. IP Relay und so weiter ist meiner Ansicht nach aus. Gleiches Verhalten mit USB/Ethernet oder WLAN.

Irgendwelche Ideen? (Es geht mir nicht um ie Frage, ob ein IPhone doof ist, sondern warum das passiert)

Code Select Expand


                                                                                                                                   
            |             Upstream 500MBit                                                                                         
            |                                                                                                                       
+-----------------------+ KeaDHCP  192.168.1.0/24, 192.168.10.0/24,    LAN                                                         
|OPNsense 24.1.1-amd64  |          192.168.20.0/24, 192.168.30.0/24    Pass  TCP/UDP - LAN  -> LAN net -> * -> *                   
|FreeBSD 13.2-RELEASE-p9| AdGuard: 53 -> UnBound: 53530                                                                             
|OpenSSL 3.0.13         | CrowdSec:8085                                USER: VLAN20                                                 
|HUSN RJ44              | Unifi:   8443                                Pass  ICMP    - USER -> USER net -> *           -> *         
+-----------------------+                                              Pass  TCP/UDP - SEC  -> LAN net  -> *           -> *         
            |                                                          Pass  UDP     - USER -> USER net -> USER adress -> DNS       
+-----------|-----------+   |---   Synology 723+/Paperless, Unifi,...  Block UDP     - USER -> *        -> *           -> DNS       
|      USW-16 PoE       ----+---   Rasbi 4b/Homebridge etc.            Pass  *       - USER -> USER net !> RFC1918     -> *         
+-----|-----------|-----+   |---   VLAN30: Samsung TV, Apple TV,                                                                   
      |     |     |                        HP Laser,...                                                                             
  +------+  |  +------+                                                IOT: VLAN30 WIP!!!!                                         
  | AP   |  |  | AP   |            VLAN20/USER: Macbooks, iPhones,...  Pass  UDP     - IOT  -> IOT net  -> IOT adress  -> DNS       
  | U7-P |  |  | U6+  |            VLAN30/IOT : Echos, Meross, Gosund, Block UDP     - IOT  -> *        -> *           -> DNS       
  +------+  |  +------+                         Nuki, Petkit,...       Pass  *       - IOT  -> IOT net  !> RFC1918     -> *         
        +-------+                                                                                                                   
        | USW-5 |---------------   VLAN30/IOT : HUE Bridge, SONOS                                                                   
        +-------+                                                                                                                   
                                                                                                                             


[Patrick M. Hausen]

Du testest mit den Hurrican Electric Tools oder ähnlichem auf dem iPhone? So ganz unten mit Ping und so?

Wenn du nur HTTP(S)-Verbindungen testest, wird dein iPhone IPv6 bevorzugen und dabei dank der Privacy Extensions eine "gewürfelte" Adresse benutzen statt einer stabilen. Dito für die MAC-Adresse, die wird auch verschleiert.

Ich sag nicht "das ist es", aber es könnte es sein.

Sonst musst du halt mal auf der Sense tcpdump  anwerfen und gucken, was denn da so an Paketen rumfliegt.

Mantra des Netzwerkingenieurs: when in doubt use tcpdump.

[Matmax]

Ich nutze a-shell und NET Analyzer auf dem IPhone, recht coole Apps. Besonders a-shell ist ein relativ komplettes Terminal :-)

Tatsächlich wundert mich, das ein simpler ICMP Request "umgangen" wird, d.h. das die opnsense gar nicht wirklich anspringt. Bin mir nicht sicher, ob das was mit IPv6 zu tun hat, ist bei mir auch alle saus. Ich teste mal weiter und als GUI-Trottel schaue ich mal mit Wireshark, tcpdump ist mir zu verwirrend ;-)

Insgesamt macht der PF ja nichts falsch und erlaubt ja nix, was er nicht sollte. Aber ich kann irgendwie nicht eingreifen. Wenn jemand ohne komplette bridge sein IPhone dazu bringt, aus einem VLAN auf VLAN1 zu kommen, dann freue ich mich über einen Hinweis.

[Patrick M. Hausen]

Mein iPhone kommt problemlos aus dem "hier sind die vertrauenswürdigen Geräte" LAN in alle VLANs, in denen ich mehr oder weniger beschränkte Devices habe. Insgesamt 5 VLANs und ein remote Netz per WireGuard.

Es muss irgendwo an deinen Regeln liegen. Im Zweifelsfall hilft nur tcpdum/Wireshark  ;)