Best practices/Standards für Heimnetzwerk

[guest15032]

Hi Dirk,

Ok Danke.

Gruß

[guest15032]

Noch mal zum DHCP Static Mapping:

Benötige ich das Static ARP? Ich müsste das für den DHCP am Interface aktivieren, um es im Mapping nutzen zu können.

Und noch eine Frage zu den Firewall Aliasen:

Als Host trage ich im Alias dann den Hostnamen ein, den ich im DHCP Static Mapping vergeben habe, richtig?

Gruß
Chris

[monstermania]

Als Host trage ich im Alias dann den Hostnamen ein, den ich im DHCP Static Mapping vergeben habe, richtig?

Klar, kannst Du so machen. Die Aliases gehen wesentlich weiter und sind nicht auf einen Host beschränkt.
Als Alias lassen lassen sich mehrere Hosts bzw. IP's oder Ports definieren.
Wenn Du also nur einigen Devices eine Verbindung über HTTPS (443) erlauben willst, fasst Du einfach alle Devices in einer Aliasgruppe zusammmen. Und die Firewallregel für HTTPS (443) weist Du dann nur dieser Aliasgruppe zu.

Ist natürlich klar, dass Du zuvor allen Devices eine feste IP-Lease zugewiesen haben musst (DHCP), oder Deine Geräte verwenden alle eine statische IP.

Beispielregel:
Proto      Source      Port   Destination   Port   Gateway   Schedule           Description      
IPv4 UDP           LAPTOPS     *   *              1194 (OpenVPN)   *      OpenVPN 1194 UDP -> any

Mit dieser Regel können nur Devices der Aliasgruppe 'LAPTOPS' per OpenVPN aus dem NW heraus.

Gruß
Dirk

[guest15032]

Hallo Dirk,

Danke, ich hab dazu auch ein bisschen was gelesen heute.

Ich stocke aber gerade schon an der ersten Firewall Regel.

Ich habe auf meinem WLAN Interface die Deny All All Regel angelegt. Diese steht ja als letzte Regel.

Dann habe ich die "alte" Allow Any Regel deaktiviert und eine eigene neue geschrieben.

Ich wollte ganz simpel HTTP und HTTPS erlauben auf dem WLAN Interface. Also habe ich die Regel angelegt mit folgenden Parametern:

Action: Pass
Interface: WLAN
TCP/IP Version: IPv4
Protocol: TCP
Source: WLAN net
Destination: any
Destination port range: HTTP to HTTPS (sollte ja 80 und 443 sein)

Nach dem Anwenden der Regel, lassen sich Webseiten nicht mehr aufrufen.

Das Firewall Log hilft mir ehrlich gesagt gerade nicht sonderlich weiter, da dort unglaublich viele Logeinträge landen, die meine Gateway IP (also die IP meines Kabelmodems) beinhalten mit den unterschiedlichsten Ports.

Ich bin vielleicht auch einfach zu müde oder sehe den Wald vor lauter Bäumen nicht mehr, aber ich steh grad auf dem Schlauch...

Gruss
Chris

[Oxygen61]

Ich wollte ganz simpel HTTP und HTTPS erlauben auf dem WLAN Interface.
Destination port range: HTTP to HTTPS (sollte ja 80 und 443 sein)

Schreib dafür lieber zwei einzelne Regeln der Übersicht halber.
Ansonsten schreib lieber immer die Subnetze, bzw. die IPs.
Also anstatt "WLAN net" dann lieber das Subnetz z.B. 192.168.1.0 /24
In der Beschreibung kannst du dann ja hinschreiben was du damit meintest z.B.:
WLAN Netz --> Internet --> erlauben

Ich geh mal stark davon aus das du einfach noch keine DNS Regel-Freischaltung geschrieben hast.
Also noch Port 53 (DNS) für UDP und TCP freischalten und nachschauen ob du denn auch überhaupt schon DNS Server eingetragen hast in deiner Firewall.
Das gleiche gilt für NTP. Ebenfalls freischalten und gegebenenfalls in der Firewall einen NTP Server eintragen.

Gibt nichts schlimmeres als zu versuchen im verschlafenen Zustand das "Netzwerken" zu verstehen.
Morgen ist auch noch ein Tag

Schöne Grüße
Oxy

[monstermania]

@neOh
Hallo Chris,
anbei mal meine FW-Regeln auf meiner Bridge als Anregung für Dich.
Das Source-Netz müsstest Du halt entsprechende Deiner Namenskonvention anpassen. Und ja, ich habe das Regelset auch nur für IPv4 angelegt.
Meine individuellen Regeln hab ich mal ausgeblendet und zu beachten wäre noch, dass der Port 80  bei mir über den transparenten Proxy läuft.
Wenn Du das nicht möchtest, brauchst Du noch eine Regel für Port 80 (analog zur HTTPS-Regel).
Die entsprechenden Regeln für den Proxy werden von der OPNSense automatisch erzeugt, wenn Du den Proxy einrichtest!

Gruß
Dirk

[guest15032]

Guten morgen zusammen,

@Dirk,

erst mal vielen Dank für deinen Screenshot. Das wird mir auf jeden Fall weiter helfen!

Hab natürlich Fragen dazu. ^^

Zum DNS (und quasi auch NTP):

Warum ist das nur intern? Ich vermute, damit erst mal nur die intern eingetragenen DNS Server verwendet werden, statt anderweitiger, das ist klar. Aber wo ist hier der Vorteil/Unterschied?

Zum DNS stellt sich mir auch die Frage, ob ich die Server noch mal Explizit eintragen muss im OPNsense Backend (so wie es Oxygen schon angedeutet hatte) oder ob es reicht, dass die Server in meinem Modem eingetragen sind? Ich habe im Modem (das ist ne einfache Horizon Box von Unitymedia) zwei DNS Server hinterlegt, einen Public DNS von Google (8.8.4.4.) und einen von DNS.WATCH (https://dns.watch/index).

Bzw. welchen Unterschied macht es überhaupt, ob ich einen DNS Server in der Firewall oder im Modem eintrage? Soweit ich mich erinnere (ich sitze gerade nicht vor der Firewall zu Hause), hatte ich gesehen, dass die Firewall die DNS Server vom Modem übernommen hatte und noch einen Localhost (127.0.0.1) mit eingetragen hatte. Aber da würde ich noch genau nachschauen abends, vielleicht erzähle ich gerade auch Unsinn.

Kann ich denn evtl. sogar die DNS Server nur in die Firewall eintragen und im Modem komplett entfernen?

Dann nur aus reiner Neugier: Du hast ja im Screenshot sichtbar noch ne Menge anderer Interfaces, auf deinen LAN und WLAN Interfaces sind dementsprechend keine Regeln hinterlegt, weil Du ja alles über die Bridge machst, richtig?

Die letze Regel in deinem Screenshot ist die automatische vom Proxy, richtig? Macht es hier Sinn, den Proxy direkt von Beginn an zu aktivieren? Oder ist der Config Aufwand doch erheblicher, so daß ich das lieber nachträglich mache? Imöchte mir das nicht direkt verkomplizieren.

@Oxygen

Schreib dafür lieber zwei einzelne Regeln der Übersicht halber.
Ansonsten schreib lieber immer die Subnetze, bzw. die IPs.
Also anstatt "WLAN net" dann lieber das Subnetz z.B. 192.168.1.0 /24
In der Beschreibung kannst du dann ja hinschreiben was du damit meintest z.B.:
WLAN Netz --> Internet --> erlauben

Mache ich.

Ich geh mal stark davon aus das du einfach noch keine DNS Regel-Freischaltung geschrieben hast.
Also noch Port 53 (DNS) für UDP und TCP freischalten und nachschauen ob du denn auch überhaupt schon DNS Server eingetragen hast in deiner Firewall.
Das gleiche gilt für NTP. Ebenfalls freischalten und gegebenenfalls in der Firewall einen NTP Server eintragen.

Jap, hatte ich nicht gemacht. Somit logisch, dass es nicht ging. Danke. Bzgl. DNS habe ich das ja grade weiter oben thematisiert, mir ist der Unterschied noch nicht ganz klar, wo die DNS Server eingetragen sein sollten (Modem, Firewall? Und warum nur lokal?).

Übrigens, habt ihr Empfehlungen für einen guten, schnellen DSN Server? Ich habe in letzter Zeit viel darüber gelesen, dass Googles public DNS Server aktuell Probleme machen (hoher Paketverlust, angeblich irgendwelche Peering Probleme). Die DNS.WATCH Server habe ich seit 2-3 Wochen erst drin und würde behaupten, die sind auch nicht die aller schnellsten aber auch nicht unbedingt langsam, irgendwo im Mittelfeld.


Und letztlich noch etwas zu meinem Firewall Log. Ich hänge euch einen Screenshot an von heute Morgen.  Darauf zu sehen ist ein kleiner Asuzug meines Logs.

Für mich eindeutig sind die Einträge, wenn sich mein Rechner (der hat da die 192.168.1.101) aus dem WLAN heraus zur Firewall (192.168.1.1) verbindet.

Dann gibt es da aber die ganzen Einträge, mit der Source 192.168.192.65 (das ist die statische IP, die ich der Firewall Appliance am WAN Interface zugewiesen habe von meinem Kabelmodem aus, ich habe am Kabelmodem DHCP deaktiviert und die Firewall ist das einzige Gerät am WAN Port).

Source 192.168.192.65 bedeutet ja, Datenverkehr geht von meiner WAN Schnittstelle raus an die jeweilige Destination IP (ich habe mal alle IPs entfernt, die nicht DNS bzw, meine Firewall intern sind). Soweit klar. Darunter sind auch IPs, die zu irgendwelchen Servern in Taiwan gehören. Ich vermute stark (und darum habe ich mir die Firewall ja auch zugelegt), dass da z.B. mein Smart TV fleißig kommuniziert in Richtung Asien. Es findet sich aber auch eine IP, die zu einem Server eines Messengers gehört, usw.

Müsste ich denn, meinem Verständnis nach, im Log nun nicht im Feld "Source" die IP des jeweiligen Gerätes sehen, anstatt der IP, die das WAN Interface hat?  Denn so, ist das doch ein wenig witzlos. Ich will doch wissen, welches Gerät da wohin telefoniert. Und spätestens, wenn ich zwei Geräte habe, die beide z.B. den gleichen Messenger nutzen, dann sehe ich nur, dass am WAN Interface Datenpakete raus gehen, aber von welchem Gerät, weiß ich spätestens dann doch nicht mehr? Oder habe ich hier gerade einen kompletten Denkfehler drin?

Und was genau sagt mir der ankilckbare, orangene Pfeil in der Spalte "Act"? Wenn ich mit der Maus darüber gehe, dann erscheint in der Hover Anzeige der Text "Pass" (Ich habe  auch schon ein orangenes Kreuz dort gesehen, mit dem Text "Dismiss" glaube ich). Ich möchte nicht wild rumklicken und mir die Firewall kaputt konfigurieren, darum habe ich das auch nicht getestet. Könnt ihr mich bitte erleuchten? ^^


Gruß
Chris

 

[Oxygen61]

Bzgl. DNS habe ich das ja grade weiter oben thematisiert, mir ist der Unterschied noch nicht ganz klar, wo die DNS Server eingetragen sein sollten (Modem, Firewall? Und warum nur lokal?).

Der Vorteil ist, das du auch hier wieder deine Clients und Geräte in der Hinsicht absicherst, indem du sie dazu zwingst nur den DNS Server zu nehmen den du in der Firewall rein geschrieben hast.

Der Ablauf wäre also folgender Maßen:
[DNS Server] --> {WAN}[Firewall]{LAN} --> [CLIENT]

Erklärung:
Der Client holt sich per DHCP die LAN IP des Firewall Interfaces und trägt diese als seinen DNS ein und fragt die Firewall bei Namensauflösungen.
Die Firewall fragt bei Namensauflösungen dann weiter bei dem Public DNS Server nach.
Der Vorteil hierbei wäre ganz einfach das, wenn der Client manuell einen anderen DNS Server einträgt, z.B. 8.8.8.8, dieser durch die Firewall nicht erlaubt wird. Die Firewall erlaubt ja durch die Regel auf der LAN Seite nur die DNS (53) Abfragen hin zum Interface der Firewall.
Wenn der User sich eine Schadware eingefangen hat, die den DNS Eintrag ändert und so versucht, Anfragen für Google, Twitter usw. auf falsche Webseiten umzuleiten wird dies nicht funktionieren.
Sicher gibt es noch andere Gründe warum das gut ist.
Zu mindestens für mich war das aber immer der plausibelste Grund.

Für NTP gilt der Gleiche Gedankengang.

An deiner Stelle würde ich versuchen das Modem so "dumm" zu halten wie nötig
und alles wichtige über die Firewall abwickeln zu lassen.

Übrigens, habt ihr Empfehlungen für einen guten, schnellen DSN Server?

Ich nutze seit gut einem Jahr jetzt schon OpenDNS, siehe: https://www.opendns.com/
Genauer gesagt hier die DNS Möglichkeiten: https://www.opendns.com/home-internet-security/
Gefühlt VIEEEEL schneller als der Google DNS...
OpenDNS hat ebenfalls Blacklists die dann z.B. dafür Sorgen, dass bestimmte Webseiten einfach nicht aufgelöst werden, wenn diese als gefährlich eingestuft wurden.
Weiterhin hat Cisco jetzt den Hut auf, man kann also davon ausgehen, das die dort Ahnung haben.
Google vertrau ich generell nicht, sodass da die Lösung für mich offensichtlich war.

Schöne Grüße
Oxy

[monstermania]

@neOh
Hallo der Oxy hat das im Prinzip ja schon sehr schön zusammen gefasst.
DNS- und NTP-Service für das interne LAN bietet ausschließlich die OPNSense an. Ich sehe den Vorteil in der Minimierung der WAN-Zugriffe und außerdem ist so sichergestellt, dass die Clients nur die DNS-Server nutzen, die ich auch in der OPNSense eingetragen hab!
Dazu mal 2 Links:
Zum Thema DNS-Zensur:
https://www.ccc.de/censorship/dns-howto/
Ich nutze DNS-Server aus diesem Projekt:
https://www.opennicproject.org/

Gruß
Dirk

[guest15032]

Edit, hier der Anhang zum Log:

[guest15032]

Hi,

Sorry, hab zu meinem Beitrag noch einen Absatz zum Log angehängt, hoffe das ist nicht durcheinandern gekommen. Darum auch der Anhang mit dem Screenshot im einzelnen Beitrag.

[Oxygen61]

Ich nutze DNS-Server aus diesem Projekt:
https://www.opennicproject.org/

Opennic ist auch sehr cool.
Siehe dazu: https://prism-break.org/de/projects/opennic/

EDIT:
Hierzu sei auch nochmal gesagt. Es ist völlig egal welchen DNS Server du einträgst, WENN du denn so oder so vorhast am Ende sämtliche Kommunikation über eine VPN Lösung zu versenden.
Ist dir Privatsphäre wichtig und du hast nicht vor VPN in dein Netzwerk mit einzubauen,
dann würde ich dir einen aus dieser Liste hier empfehlen:
https://prism-break.org/de/protocols/dns/
Von OpenNIC hört man nichts schlechtes, von daher würde ich dir da Raten dort dich noch einmal einzulesen.

[guest15032]

Erklärung:
Der Client holt sich per DHCP die LAN IP des Firewall Interfaces und trägt diese als seinen DNS ein und fragt die Firewall bei Namensauflösungen.
Die Firewall fragt bei Namensauflösungen dann weiter bei dem Public DNS Server nach.
Der Vorteil hierbei wäre ganz einfach das, wenn der Client manuell einen anderen DNS Server einträgt, z.B. 8.8.8.8, dieser durch die Firewall nicht erlaubt wird. Die Firewall erlaubt ja durch die Regel auf der LAN Seite nur die DNS (53) Abfragen hin zum Interface der Firewall.
Wenn der User sich eine Schadware eingefangen hat, die den DNS Eintrag ändert und so versucht, Anfragen für Google, Twitter usw. auf falsche Webseiten umzuleiten wird dies nicht funktionieren.
Sicher gibt es noch andere Gründe warum das gut ist.
Zu mindestens für mich war das aber immer der plausibelste Grund.

Ah, perfekt erklärt, Danke!

An deiner Stelle würde ich versuchen das Modem so "dumm" zu halten wie nötig
und alles wichtige über die Firewall abwickeln zu lassen.

Guter Hinweis, das heißt, DNS Server im Modem raus.

Ich nutze seit gut einem Jahr jetzt schon OpenDNS, siehe: https://www.opendns.com/
Genauer gesagt hier die DNS Möglichkeiten: https://www.opendns.com/home-internet-security/
Gefühlt VIEEEEL schneller als der Google DNS...
OpenDNS hat ebenfalls Blacklists die dann z.B. dafür Sorgen, dass bestimmte Webseiten einfach nicht aufgelöst werden, wenn diese als gefährlich eingestuft wurden.
Weiterhin hat Cisco jetzt den Hut auf, man kann also davon ausgehen, das die dort Ahnung haben.
Google vertrau ich generell nicht, sodass da die Lösung für mich offensichtlich war.

Ich nutze DNS-Server aus diesem Projekt:
https://www.opennicproject.org/

Werde mir beide mal anschauen und testen. Danke.

Gruß
Chris

[Oxygen61]

Guter Hinweis, das heißt, DNS Server im Modem raus.

Genau. Den DNS trägst du bei OPNsense hier ein:
System > Settings > General

Werde mir beide mal anschauen und testen. Danke.

Hierzu vielleicht auch noch mal mein Nachtrag im Post davor.
Der Größte Unterschied ist die Frage der Privatsphäre.
Am Ende bist du aber besser bedient, wenn du keinen Google DNS nimmst,
egal für was du dich schlussendlich entscheidest.

[guest15032]

EDIT:

Hier gab es beim Posten des Beitrags grade einen Fehler. Beitrag steht auf der nächsten Seite.