Interzone Verkehr

[MarroniJohny]

....

Nun habe ich aber das Problem mit den Firewall Regeln. Hätte ja gerne Bilder gepostet von den entsprechenden Regeln, aber bin schon beim maximum. Bei den LAN Regeln hat es eine Regel drin "allow all" eingehend. Das verwirrt mich maximal, müsste das nicht ausgehend heissen? Also habe ich jetzt mal stur die Regeln bei den betreffenden VLANs auch mit rein genommen. So komme ich an allen VLANs/Gästen raus ins Internet. Nun kann ich aber zwischen den VLANs pingen. Wenn ich da als Ziel "WAN Schnittstelle" wähle, komme ich nicht mehr raus.

Was muss ich da in den VLANs genau für default Regeln anlegen, damit ich raus komme, aber die VLANs untereinander isoliert sind?

Um die Aufgabenstellung, dass die VLANs ins Internet dürfen,
aber untereinander nicht kommunizieren sollen zu lösen,
besteht die Möglichkeit, das mit einer Firewall-Regel und einem Alias zu erledigen.

Hierzu legt man ein Alias an, welches die IP-Bereiche von lokalen Netzwerken definiert.

Ensprechend RFC1918. https://www.rfc-editor.org/rfc/rfc1918

10.0.0.0        -   10.255.255.255  (10/8 prefix)
172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

In OpenSense bitte zu Firewall->Aliases gehen.
Dort auf plus (Hinzufügen) drücken.
Dem Eintrag einen Namen geben -RFC 1918 beispielsweise-.
Beim Typ Networks auswählen und jetzt die Bereiche anlegen welche zum RFC1918 gehören.
Damit hat man ein Alias, der die Netzwerke definiert, die zum RFC 1918 Bereich gehören.

Nun muss noch eine Firewall-Regel erstellt werden, welche alle Ziel Netzwerke außer den RFC1918 erlaubt.
Hierzu geht man unter Firewall->Regeln.
Auf dem passende VLAN, Regel hinzufügen via Plus (hinzufügen).
Beim erstellen der neue Regel, (Action=Pass) ist, (Richtung= in) und als (Ziel= das angelegte Alias- hat).
Wichtig ist (Ziel / Umkehren) auf an.
Dadurch erreicht man das die Regel umgekehrt wird.

Nun ist alles außer dem Ziel (Alias) erlaubt.

Achtung. Sollten im lokalen Netzwerk DNS Server oder andere dienste laufen, welche nicht direkt im jeweiligen Vlan sind muss für diese jeweils eine Allow Regel definiert werden.
Diese muss vor der RFC1918 Regel sein.

Die Regel sollte auf jedes Vlan gepackt werden welches gesichert werden soll.

Hi

Mache der Einfachheit halber einen neuen Thread. Genau so habe ich es gelöst. Funktioniert soweit ganz gut. Nur habe ich das Problem, dass ich aus meinem LAN nicht mehr in die DMZ komme. Das müsste ja eigentlich gehen, weil ich aus dem LAN heraus auf allow all habe? Was muss ich da in der DMZ noch beregeln, aber so, dass die nicht einfach überall hin ballern kann? Ich will einfach auf ein paar Server zugreifen können. Von aussen funktioniert alles.

Also vom Pilot Netzwerk will ich auf das Server1_DMZ VLAN zugreifen können.

Gruss und danke

[viragomann]

Hi,

Nur habe ich das Problem, dass ich aus meinem LAN nicht mehr in die DMZ komme. Das müsste ja eigentlich gehen, weil ich aus dem LAN heraus auf allow all habe?

Die Regeln sind ausreichend. Mehr als alle Protokolle zu allen Zielen und Ports zu erlauben, geht nicht.

Wenn es damit nicht klappt, würde ich untersuchen, ob das Zielgerät die Anfrage blockiert. Zugriffe von außerhalb des eigenen Subnetzes zu blockieren, ist eigentlich die Standardeinstellung jeder betriebssystemeignen Firewall. Da müsstest du ggf. die Zugriff zulassen.

Was muss ich da in der DMZ noch beregeln

Gar nichts.

Grüße

[meyergru]

Es gibt noch ein paar Möglichkeiten, wo etwas schiefgehen kann:

1. Floating-Regeln (die ziehen vor den anderen)
2. Falls Du nicht sicher bist, dass es an den Firewall-Regeln liegt (schalte die mal temporär ab), dann kann es alles mögliche sein, u.a. Routing, Netzmasken, überlappende Bereiche zwischen Pilot und DMZ...

[MarroniJohny]

Ist seltsam. Habe von einer Zywall zu der Sense gewechselt. Dass die Server da verantwortlich sein sollen, schliesse ich jetzt einfach mal aus. Weil die lagen vorher schon in einem anderen Subnet. Witzig ist, ich kann die Server pingen. Aber z.B. auf das Hostingpanel (Websites), Filer (SMB) und die ganzen Flugsimulator Server komme ich nicht mehr drauf. Aktiviere ich am Client (Pilot Netzwerk) VPN (Mozilla VPN), komme ich überall drauf. Halt wie gesagt, von aussen.

Überschneidungen bei den Netzen der Senses gibt es auch nicht. Sind alles 24er Subnet mit eigenen DHCP Servern.

Fahre jetzt getagged direkt von der sense auf den Server, also ohne Switch. Und auf einem anderen Adapter an der Sense auf das Pilot Netzwerk. Im Anhang seht Ihr das "alte" Netzwerk, sowie das neue. Das läuft atm parallel, aber habe jetzt auf die Sense geswitcht. Ahja, und läuft an doppelt NAT, der Router lässt sich leider nicht bridgen. Die Sense ist jetzt als DMZ Gerät konfiguriert.

[viragomann]

Das läuft atm parallel, aber habe jetzt auf die Sense geswitcht.

Ein solches Setup ist anfällig für asymmetrisches Routing.

ich kann die Server pingen. Aber z.B. auf das Hostingpanel (Websites), Filer (SMB) und die ganzen Flugsimulator Server komme ich nicht mehr drauf.

Und das deutet auch darauf hin.

Findet sich im Firewall Log was dazu?

[MarroniJohny]

Ein solches Setup ist anfällig für asymmetrisches Routing.

Weiss zwar nicht, was Du damit meinst. Würde es eventuell was bringen, den Router/Modem neu zu starten? Ungern. Hatte da einfach die DMZ Adresse ausgetauscht.

Und das deutet auch darauf hin.

Findet sich im Firewall Log was dazu?

Von der sense? sry, keine Ahnung. Meinst Du Protokoll/Liveansicht? Das ist gerade voll am ausrasten. Macht mich eh leicht nervös, hoffe da, habe nichts falsch beregelt. Bei der Zywall kann ich bei den einzelnen Regeln einen log Eintrag setzen, und dann filtern. Ist da Protokoll=live?

[viragomann]

Ein solches Setup ist anfällig für asymmetrisches Routing.

Weiss zwar nicht, was Du damit meinst. Würde es eventuell was bringen, den Router/Modem neu zu starten? Ungern. Hatte da einfach die DMZ Adresse ausgetauscht.

Das wäre beispielsweise der Fall, wenn der Client über die OPNsense geht, der Server aber den anderen Router als Gateway konfiguriert hat. Dann schickt er die Antwortpakete über eine andere Route als die Anfragen. Bei stateful Firewalls wie die Sense kommt sowas nicht gut an.

Von der sense?

Ja.

Wenn du per SMB drauf gehst, dann eben Blocks von Port 445.
Wenn, dann öffne mal die weiteren Info durch Klick auf das "i" Symbol ganz rechts.

[MarroniJohny]

Glaube das ist ein Paket, was von mir gedroppt wird. Die externen IPs werden im sense log auch als externe angezeigt. Die hier ist als Quelladresse das Gateway vom Router/Modem. Wie gesagt, kann den leider nicht in den bridge Mode setzen.

Der Source Port von der Anwendung sollte allerdings auch im 65000 Bereich liegen.

Das Netzwerk Interface welches an der Zywall hängt habe ich deaktiviert. So komme ich allerdings nicht mehr auf vSphere. Das 10 Gbit Interface vom Pilot Netzwerk habe ich per Metrik priorisiert, das ist bislang immer super gelaufen so.

[viragomann]

Die hier ist als Quelladresse das Gateway vom Router/Modem.

Darum wird es auch blockiert.

Um das zu erlauben, musst du in den WAN Schnittstelleneinstellungen den Haken bei "Block private networks" entfernen.
Standardmäßig werden private Netzwerkadressen am WAN blockiert. Das verrät auch der Regelname im Log.

[MarroniJohny]

Haha, nice, ty. Jetzt kann ich sogar aus verschiedenen internen Netzen zusammen fliegen. Dazu musste ich bis jetzt mit der Zywall immer VPN nutzen. Sehr geil. Da hatte ich jenes lang rum gebastelt, bis das überhaupt irgendwie lief.

[viragomann]

Warum das Paket allerdings die Router IP als Quelle hat, würde ich noch abklären, wenn die Zywall weg ist und OPNsense das ganze Routing übernimmt. Woher kommt das? Von außen oder von einem anderen Interface?

Dazu musste ich bis jetzt mit der Zywall immer VPN nutzen.

Seltsam.

[MarroniJohny]

Ja, der Provider Router, bzw. die 192.168.50.x.er IP hängt vor der Zywall und der Sense. Siehe Post #3. Die hängen da parallel dran, an doppelt NAT. Habe jetzt einfach am Provider Router die DMZ Adresse auf die Sense geändert, bislang lief der Server über die Zywall und den Switch.

Nun habe ich das selbe Problem wie mit der Zywall: wenn ich mich intern auf den Phoenix Server verbinde, geht das sowohl mit auch als ohne VPN. Das hatte ich früher schon mit NordVPN. Irgendwann hatten die mal was umgebogen mit einem Update, dann konnte ich mich von Intern gar nicht mehr verbinden. Bin dann zu Mozilla VPN gewechselt, dann hat es wieder funktioniert.

Es handelt sich um einen RC Flugsimulator Server. Den hoste ich komplett. Da kann man sich auf einen Masterserver verbinden, und von da aus auf den Online- und den Downlaodserver. Im Client kann man dann eine Session hosten. Wie gesagt, mit der Option in der Sense WAN "Block private networks" entfernen kann ich mich intern auf die Clients verbinden. Aber wenn extern wer dazu kommt, oder ich auf eine externe Session verbinden will, dann klappt die Verbindung nicht. Dazu brauche ich nach wie vor am Client die Mozilla VPN Verbindung, wie schon an der Zywall.

Wär aber auch kein Beinbruch, bin mir das schon gewohnt. Mit einem weiteren Flugsimulator Server habe ich ein ähnliches Problem. Da muss ich auch VPN verwenden, um auf meinen eigenen Server zugreifen zu können. Wenn man das noch lösen könnte, das wär natürlich das Sahnehäubchen.

Geht um die beiden Server Phoenix RC (wichtiger) und JoinFS. www.flugsimulatoren.ch

Der Phoenix Sever wird über eine domain mit externem DNS aufgelöst.

Die Zywall kann ich leider im Moment nicht abschalten, weil der VM Storage per NFS noch darüber läuft. Aber glabe nicht, dass sich die beiden FW irgendwie beissen, völlig andere Ranges und Netze. Wenn wer von extern eine Session hostet, und ich mich ohne VPN verbinden will, dann steht glaube ich nichts im live log, so weit ich sehen konnte.

Ist halt ganz schönes ghetto, den Dreck habe ich weg retouchiert so weit es ging:

[MarroniJohny]

Hi

Noch eine Frage dazu. Früher hatte ich immer ganz viele Chinesen auf dem Server. Die haben halt zum Teil die Lobby zugespamt, und ganz viele Sitzungen geöffnet. Seit ich die opnsense in Betrieb habe aber nicht mehr. Habe auch nicht wirklich was mit geoip beregelt. Man sieht auch im livelog nichts dazu. Glaube da wird nichts geblockt.

Kann das sein, dass ich bei den WAN Einstellungen Bogon Netze erlauben muss, damit meine chinesischen Freunde wieder mitspielen können? Oder ist das eher eine blöde Idee?

[MarroniJohny]

Ah okay. Die Chinesen haben wohl gerade Feiertage. Wird wohl daran liegen.

[meyergru]

Bogons können/sollten eigentlich immer geblockt werden. Wenn Du allerdings weißt, dass Dich bestimmte Regionen nicht die Bohne interessieren, kannst Du ja Geoblocking dafür aktivieren.