Interneterreichbarkeit über Firewallregeln (Setup Opnsense hinter Fritzbox)

Started by Pampa_Party, February 12, 2025, 05:08:18 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 12, 2025, 05:08:18 PM
Hi,

also mein Setup ist das meine Opnsense hinter einer Fritzbox hängt und ich durch meinen ISP nur eine öffentliche IPv6 habe. Hab auch eine IPv4 von meinem ISP aber das ist aus einem IP Bereich der wohl nicht zugänglich ist über das Internet (kenne mich da aber nicht wirklich aus). Präfix für ipv6 habe ich delegiert und funktioniert auch alles. In meiner Fritzbox habe ich für Heimnetz und IPv6 einen eigenen IPv6 ULA-Präfix manuell festgelegt. Weiterhin hab ich in meiner Fritzbox sämtlichen Traffic für UDP und TCP auf port 53 für alle Geräte blockiert außer für meinen DNS Server.

Wenn ich nun in einem Lan Bereich der OPNSense die Standardregeln für ipv4 und ipv6 nutze funktioniert alles einwandfrei (Also Erlauben, Quelle LAn, Ziel any, alle ports ...). Da ich aber ein bisschen mit spezielleren Zugriffsregeln experimentieren möchte will ich diese Regeln spezifischer machen. Wenn ich bspw. hier für Ziel any Ziel WAN net eingebe kann ich bspw noch chatgpt nutzen aber ich bekomme keine webiste mehr aufgelöst. Wenn ich einen nslookup mit Ziel Wan net machen sehe ich die IPv6 Adresse meines DNS Servers, aber bekommen auch DNS request timed out. timeout was 2 seconds. Anpingen kann ich die IPv6 Adresse des DNS Servers ebenfalls. Ich hab hier schon ein paar sachen ausprobiert bekomme es aber nicht zum laufen und verstehe nicht wo das Problem liegt, wenn ich Ziel auf WAN net stelle. Rein logisch müsste es aus meiner Sicht funktionieren. Wie gesagt Chatgpt kann ich dann auch nutzen aber eben keine anderen Websites aufrufen sodass ich vermute DNS spielt hier mit rein.

Ich weiß gerade nicht mehr weiter und bin über neue Impulse dankbar. Da ich UDP und TCP für port 53 in der Fritzbox für alle Geräte außer DNS gesperrt habe könnte vllt ein Problem sein, weswegen ich es mit angegeben habe. Ich hoffe jemand kann mir weiterhelfen. Falls weitere Informationen benötigt werden lasst es mich wissen.

LG und danke im vorraus.
February 12, 2025, 06:08:36 PM #1
WAN_net ist niemals das Internet und müsste in deinem Falle das LAN der Fritzbox sein.
February 12, 2025, 06:58:44 PM #2
Quote from: Bob.Dig on February 12, 2025, 06:08:36 PMWAN_net ist niemals das Internet und müsste in deinem Falle das LAN der Fritzbox sein.

Aber das Gateway ist ja die Fritzbox, und wenn diese im WAN ist und die opnsense Zugriff auf dieses Netzwerk hat müsste es doch eigentlich gehen?!
February 12, 2025, 07:00:27 PM #3
Relevant ist die Ziel-Adresse, die erreicht werden soll. Nur mal als Beispiel 8.8.8.8, damit man Googles DNS-Server erreicht. Diese ist nicht "WAN net". Diese ist "any". "WAN net" ist nur das Netz zwischen OPNsense und Fritzbox, typisch 192.168.178.0/24.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 12, 2025, 07:34:42 PM #4
Quote from: Patrick M. Hausen on February 12, 2025, 07:00:27 PMRelevant ist die Ziel-Adresse, die erreicht werden soll. Nur mal als Beispiel 8.8.8.8, damit man Googles DNS-Server erreicht. Diese ist nicht "WAN net". Diese ist "any". "WAN net" ist nur das Netz zwischen OPNsense und Fritzbox, typisch 192.168.178.0/24.

Also mein DNS Server ist auch im WAN also gleicher IP-Adressbereich wie WAN net. Nutze keinen öffentliche sondern Pi-Hole mit unbound.Hab auch schon probiert explizit die IP-Adressen meines DNS Server freizugeben, aber mit dem selben Ergebnis
February 13, 2025, 02:00:46 PM #5
Also wenn ich alle internen Netze blocke, komme ich dem nahe was ich möchte, um granulare Zugriffsrechte zu erstellen. Aber ist es denn nicht irgendwie möglich über die Destination das zu machen ohne weitere Block Regeln erstellen zu müssen? Ich vermute das das geht nur check ich nicht wie :D. Wie gesagt Hilfe ist immer willkommen
February 13, 2025, 02:09:48 PM #6
Das war ja nur ein Beispiel mit dem 8.8.8.8. Jeder Webserver im Internet ist "any" und nicht "WAN net". Es sei denn, du willst alles, was deine internen Clients jemals aufrufen dürfen, ausdrücklich auflisten. Dann kannst du mit Destination arbeiten. Musst halt eine Liste von allen Zielsystemen bauen ;-)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 14, 2025, 02:46:26 PM #7
Quote from: Patrick M. Hausen on February 13, 2025, 02:09:48 PMDas war ja nur ein Beispiel mit dem 8.8.8.8. Jeder Webserver im Internet ist "any" und nicht "WAN net". Es sei denn, du willst alles, was deine internen Clients jemals aufrufen dürfen, ausdrücklich auflisten. Dann kannst du mit Destination arbeiten. Musst halt eine Liste von allen Zielsystemen bauen ;-)

Danke :). Hab das nur nochmal erwähnt weil ich nicht wusste ob es irgendwie wichtig ist. Dann lag bei mir wohl ein Verständnis Fehler vor. Ich dachte wenn er das Gateway hat kann er ins Internet kommunizieren und da dann wie er will. Also muss ich quasi immer über any arbeiten und dann alles blockieren was ich nicht will wenn ich das jetzt richtig verstehe?!. 
February 14, 2025, 03:00:34 PM #8
Das kommt darauf an, was genau du willst. Was willst du denn? Du wirst es auch nicht schaffen, z.B. alle IP-Adressen von Facebook Tiktok aufzulisten, um diese zu sperren. Die ändern sich dauernd.

Für so etwas brauchst du mindestens DNS-Blocklisten zusammen mit Unbound oder AdGuard Home oder evtl. auch so etwas wie Zenarmor.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 14, 2025, 03:51:12 PM #9
Quote from: Patrick M. Hausen on February 14, 2025, 03:00:34 PMDas kommt darauf an, was genau du willst. Was willst du denn? Du wirst es auch nicht schaffen, z.B. alle IP-Adressen von Facebook Tiktok aufzulisten, um diese zu sperren. Die ändern sich dauernd.

Für so etwas brauchst du mindestens DNS-Blocklisten zusammen mit Unbound oder AdGuard Home oder evtl. auch so etwas wie Zenarmor.

Was ich will ist es so einfach wie möglich halten :D. Also in dem Fall wollte ich erstmal nur das ich quasi aus einem lan auf das Internet zugreifen kann ohne auf die anderen lan´s zuzugreifen, quasi um internen Verkehr zu kontrollieren/unterbinden. In Vorbereitung auf eine DMZ bzw. ein Admin Lan Segment. Was ich auch noch nicht so ganz verstehe ist das in and out. Also grundsätzlich kapier ich das, aber was mich verwirrt ist wenn ich die Protokollierung aktivieren und dann nach in Filter, die Quelle Interne IP´s sind und das gleiche auch bei Out passiert. Also Quelle immer meine internen IP-Adressen. Aber ist vermutlich so durch die Opnsense definiert das Quellen immer intern sind?
February 14, 2025, 04:05:04 PM #10
Quote from: Pampa_Party on February 14, 2025, 03:51:12 PMWas ich will ist es so einfach wie möglich halten :D.

Dann ist OpnSense Dein natürlicher Feind... ;-)

Quote from: Pampa_Party on February 14, 2025, 03:51:12 PMAlso Quelle immer meine internen IP-Adressen. Aber ist vermutlich so durch die Opnsense definiert das Quellen immer intern sind?

Normalerweise nicht, aber: Da Dein Provider Dir aber nur CG-NAT liefert, wird wohl keine von außen kommende IPv4 eine Verbindung zu Dir versuchen. Und eine IPv6 auch eher nicht, es sei denn, Du machst sie irgendwie bekannt. Bei 2^128 möglichen IPv6 macht sich kein Hacker die Mühe, Dich zu finden.

Es gibt zwar Pakete, deren Quelladresse im Internet liegt, das sind aber nur Antworten auf Pakete, die Du zuerst ausgesendet hast. Und wenn die ausgehende Richtung erlaubt ist, sind die Antworten darauf automatisch ebenfalls erlaubt, werden also nicht in einem Protokoll als geblockt auftauchen.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
February 14, 2025, 05:49:25 PM #11
Quote from: Pampa_Party on February 14, 2025, 03:51:12 PMWas ich auch noch nicht so ganz verstehe ist das in and out
Immer nur alle Regeln "in" machen, weil das bedeutet hier, in die Firewall rein gehen. Und da entscheidet sich dann, was erlaubt oder verboten ist.
Und einen Alias RFC1918 machen, mit allen privaten IP-Blöcken. Damit kannst du dann dein LAN blockieren und mit einer zweiten Regel alles, also quasi den Rest, erlauben.
February 14, 2025, 06:52:57 PM #12
Quote from: meyergru on February 14, 2025, 04:05:04 PMDann ist OpnSense Dein natürlicher Feind... ;-)


Soweit würde ich jetzt nicht gehen aber meine Wunschvorstellung wäre natürlich Einfachheit :D.

QuoteNormalerweise nicht, aber: Da Dein Provider Dir aber nur CG-NAT liefert, wird wohl keine von außen kommende IPv4 eine Verbindung zu Dir versuchen. Und eine IPv6 auch eher nicht, es sei denn, Du machst sie irgendwie bekannt. Bei 2^128 möglichen IPv6 macht sich kein Hacker die Mühe, Dich zu finden.

Es gibt zwar Pakete, deren Quelladresse im Internet liegt, das sind aber nur Antworten auf Pakete, die Du zuerst ausgesendet hast. Und wenn die ausgehende Richtung erlaubt ist, sind die Antworten darauf automatisch ebenfalls erlaubt, werden also nicht in einem Protokoll als geblockt auftauchen.


Ertsmal Danke dafür. Ich glaube grob zu verstehen was du mir sagen möchtest, mit den Quelladressen wundert mich aber immer noch ein wenig. Aber learning by doing. Vllt versteh ich hier irgendwann noch wieso weshalb. Mich wundert dann auch warum die Einträge überhaupt im Log erscheinen, aber ich hoffe das klärt sich in meinem Kopf auch noch irgendwie.

Quote from: Bob.Dig on February 14, 2025, 05:49:25 PMImmer nur alle Regeln "in" machen, weil das bedeutet hier, in die Firewall rein gehen. Und da entscheidet sich dann, was erlaubt oder verboten ist.
Und einen Alias RFC1918 machen, mit allen privaten IP-Blöcken. Damit kannst du dann dein LAN blockieren und mit einer zweiten Regel alles, also quasi den Rest, erlauben.

Danke für den Hinweis, ist eingebaut :).
Print
Go Up Pages1
User actions