OPNSense die ersten Anfänge.. VLAN??

[RealQuality]

Aktuell wird alles über die OPNsense geroutet, da die WLAN Clients eh nicht die volle Bandbreite von 2,5 Gb/s ausnutzen können würde ich dabei auch bleiben.
In diesem Fall ging es mir um die Sicherheit, da ich 8 VLANS besitze (Gäste IOT Familie etc..) aber nur 2 VLANS auf das NAS zugreifen sollen werde ich denke ich die NAS an einen freien Port der OPNsense einrichten und die Firewall Regel von Patrick umschreiben dass nur 2 VLANS Zugriff auf die NAS haben.

Ich denke dies ist die sicherste und für mich als "laie" beste Methode.

Gerne kannst du mich berichtigen.

Danke!

[Zapad]

1. Vlans haben mit "Sicherheit" wenig zutun es ist eher Verwaltung / Broadcast aufteilung.

Die Sicherheit wird per ACL oder Rules erreicht... die natürlich an Vlan gebunden sind.

Man kann auch Mix betreiben, zb. per DHCP einem Vlan netwerk die GW IP von der Sense mitgeben
und einem Anderen Vlan die GW ip vom Switch mitgeben um zb geschwindigkeit zu haben.

Aber es kommt auf das Wissens/wollens Grad an, manchmal ist einfacher besser, aber nicht unbedingt sicherer.

[Patrick M. Hausen]

@Zapad weshalb sollte die OPNsense nicht mit wire speed zwischen den VLANs routen? 2,5 G/s ist nun wirklich keine Kunst. 1 G/s schafft sogar ein APU4D4. Es ist nur PPPoE, was problematisch ist.

[Zapad]

nun ja, klar nacktes Routing bestimmt, es kommt im ganzen aber an die menge der Rules/Clients.

ich bin schon auf das Ergebnis gespannt wenn man zb Backup mit Wirespeed macht und nebenbei Internet TV Streamt etc.

Ich habe für mein Teil die Regeln aufgeteilt manches macht Switch das andere Sense.

[RealQuality]

Vielen Dank für die Antworten!
@Patrick wieso wird es Problematisch wegen PPPoE?

Mir ist eingefallen das ich auch einfach den 2 Port meiner NAS dem jeweiligen VLAN zuweisen kann mit eigener IP etc.
Ich glaube das wird das ganze vereinfachen.
Jeder VLAN der Zugriff auf das NAS benötigt hat seine eigenen Port an der NAS sowie an der OpnSense.
Diese sind zwar nur 1 Gbit/s Ports aber für Backups und Fotogaliere reicht es vollkommen.

@Zapad
Werde mich aber trotzdem dem Thema ACL widmen und probieren, nur so lernt man.

Danke!

[Patrick M. Hausen]

PPPoE läuft teilweise nur auf einem Core und mit der aktuellen Implementierung (mpd5) ist es schwierig, mehr als 1 G/s zu erreichen. Ist aber eigentlich ein Provider-Problem. PPPoE gehört weg. Braucht kein Mensch.

[RealQuality]

Hallo, es haben sich mit der Zeit noch ein paar Fragen aufgetan wo ich noch etwas Nachhilfe von euch bräuchte.

Ich habe mehrere VLANs erstellt und mit der Regel


Interface: Restricted
Source: Restricted net
Destination: This Firewall
Protocol: TCP/UDP
Destination port: DNS
Action: allow

Interface: Restricted
Source: Restricted net
Destination: !Restricted net (destination invert)
Protocol: any
Destination port: any
Action: allow

den Verkehr untereinander geblockt.

Nun habe ich im Firewall Log immer wieder gesehen das Anfragen von zum bsp. 192.168.20.10 --> 192.168.20.1 oder/und 192.168.20.255 geblockt werden.
Aber ist für dieses VLAN nicht die 192.168.20.1 das eigene Gateway?


Ich habe ein Screenshot von den Logs gemacht.

[Patrick M. Hausen]

Ja, ist es. Und die Kommunikation mit diesem, z.B. für DNS oder NTP, musst du ebenfalls ausdrücklich erlauben. Das Gateway ist ja auch ein Teil von "Restricted_net".

[RealQuality]

Hallo Patrick,
vielen Dank für die schnelle Antwort!

Wie sollte diese Regel den aussehen? Damit tu ich mich noch etwas schwer..

Gruß Luca

[Patrick M. Hausen]

Zum Beispiel für DNS:

Source: Restricted net
Destination: This Firewall
Destination Port: DNS (53)
Protocol: TCP & UDP

Für NTP dann nur UDP und Port NTP (123)

[RealQuality]

Nun können die VLANs die Zeitserver erreichen. Aber wie schaffe ich es das die VLANs ihre eigenen Gateways erreichen können?
Diese veruschen sich unter TCP Port 7 oder icmp zu erreichen.

Sollte die Regel dann wie bei DNS

Source: Restricted net
Destination: This Firewall
Destination Port: 7
Protocol: TCP

sein?


EDIT: Ich habe die Regel so erstellt:

Source: Restricted net
Destination: This Firewall
Destination Port: 7
Protocol: TCP

und

Source: Restricted net
Destination: This Firewall
Destination Port:
Protocol: ICMP
ICMP TYP: Echo request

Geht das so in ordnung?

[Patrick M. Hausen]

Den Gateway als Gateway müssen sie nicht erreichen, nur notwendige Dienste. ARP, DHCP, Routing und alles andere wird von den automatischen Regeln erlaubt.

Was meinst du denn mit "erreichen"? Ping?

Dann mach doch eine globale Floating Regel - alle Interfaces, ICMP echo, in, allow. Fertig. An ping ist nichts schädlich oder gefährlich, das ist ein sinmvolles Testwerkzeug. Ich hab das überall genau so erlaubt - per Floating Regel.

[RealQuality]

Hallo Patrick,
ja entschuldigung ich meinte natürlich Ping.

ich habe dies jetzt wie im Anhang eingestellt.
Anstatt Floating Regeln habe ich dies unter Restricted net gemacht,wird aber noch geändert der Übersichtlichkeit halber.

Funktioniert!


Sollte den noch der Broadcast 192.168.50.255 erlaubt werden?

[Patrick M. Hausen]

Nein. DHCP & Co. nutzen 255.255.255.255 und das machen die automatischen Regeln ja sowieso.

[RealQuality]

Stimmt, sonst würde es ja nicht funktionieren.

Aber was haben die ständigen Versuche dann auf sich?
Die IP gehört zu einem Roboter Staubsauger.