Firewall > Regeln > Global funktioniert vs. mit WAN/LAN kein Internet

[Anderer]

Hallo zusammen,

die letzten Tage habe ich einen FW-Mini-PC mit OPNsense ganz neu eingerichtet (Details s. u.) und zuvor nur verschiedene Router und NAS genutzt. Ich stehe also ganz am Anfang und hatte verstanden, dass ich mit den Grundeinstellungen eigentlich ins Internet kommen sollte.

Folgende Einstellung verstehe ich nicht, finde dazu keine passende Doku- oder Forenbeiträge bzw. ich verstehe nicht mal, nach was ich suchen sollte und komme einfach nicht weiter:

Mit folgender Firewall > Regeln > Global Einstellung bekomme ich Internetzugang:

• Schnell
• Schnittstelle: LAN
• Richtung: any
• IP-Version:  IPv4
• Protokoll: TCP/UDP
• Quelle: LAN Netzwerk
• Ziel: beliebig
• Gateway: Standard

Sobald ich etwas davon weiter einschränke, verliere ich den Internetzugang.

Alternativ habe ich analog je 2x Firewall > Regeln > LAN bzw. WAN eingerichtet:

• Schnell
• Schnittstelle: LAN, LAN, WAN, WAN
• Richtung: in, out, in, out
• IP-Version: IPv4+6
• Protokoll: any
• Quelle: beliebig
• Ziel: beliebig
• Gateway: Standard

Alles andere bleibt unverändert.Trotzdem bekomme ich mit diesen 4 aktivierten Regeln KEINEN Internetzugang und noch offener kann ich die Regeln nicht erstellen. Ich hoffe, dass ich es verständlich darstellen konnte.

Eigentlich wollte ich viel strengere Regeln anlegen, aber alles scheitert daran, dass der Internetzugang bisher ausschließlich mit der Regel "Global" (s. o.) möglich wurde.

Kann jemand bitte einen Tip geben, wo bzw. wonach ich suchen muss, um das Problem überhaupt zu verstehen oder eine Lösung zu finden, damit ich "Global" nicht nutzen muss und die Regeln weiter einschränken kann?

Herzlichen Dank & viele Grüße,

Rico

[viragomann]

Hallo,

Mit folgender Firewall > Regeln > Global Einstellung bekomme ich Internetzugang:

verdammte Übersetzung.
Globale Regeln = Floating Rules

Floating oder Globale Regeln sind können für mehrere Interfaces eingerichtet werden. "Schnell" bedeutet hier, dass die Regel als erstes, vor eigentlichen Interface Regeln geprüft und ggf. angewendet wird.

Bei der Regel hast du die Aktion (pass, block) nicht angegeben. Wenn es eine Pass-Regel zusätzlich zur Standard-LAN Regel ist, sollte das Internet dennoch erreichbar sein.

Wie auch immer, ich würde keinem Anfänger empfehlen, mit Globalen Regeln zu starten.

Typischerweise erstellt man Regeln auf den Interfaces direkt. Und hier regeln sie dann ausschließlich eingehenden Traffic. Also wenn du vom LAN2 ins Internet möchtest, braucht es am LAN2 Tab eine Pass-Regel, die das erlaubt.

Am LAN gibt es eine Standard-Regel, die alles erlaubt. Wenn du diese deaktivierst oder einschränkst, bedenke, dass du wahrscheinlich auch Zugriffe auf die Interface IP (auf OPNsense selbst) für bspw. DNS oder NTP benötigst.

Grüße

[Anderer]

Hallo & danke für die Rückmeldung.

Vorab, Aktion ist aktuell bei allen Regeln "Erlauben", also pass.

Ich möchte vom LAN ins Internet und habe dazu - testweise - eine komplett offene Regel erstellt, weil ich mit den beiden Standard-Regeln eben nicht ins Internet komme, obwohl ALLES erlaubt ist. Also noch bevor irgendetwas - außer IPs - geändert wurde.

Da ich (nur) mit Floating Rules ins Internet komme, habe ich zusätzlich komplett offene Regeln für LAN (in + out) und für WAN (in + out) erstellt, was ich normalerweise gar nicht brauchen sollte.

Trotzdem komme ich nur ins Internet, wenn die Flating Rule aktiviert ist, obwohl die 4 einzelnen Regeln noch offener sind hinsichtlich Quelle, IPv4+IPv6 und Protokoll.

Woran könnte das bitte liegen bzw. wo oder nach welchem Fehler müsste ich hier suchen?

Dankeschön

[meyergru]

Am Rande bemerkt: Du brauchst fast nie "Out" Regeln. Die "In"-Regeln meinen eingehenden Traffic für das jeweilige Interface, also z.B. "vom" LAN. Für die Gegenrichtung wird intern immer eine "Established, Related"-Regel erstellt, d.h. die Antworten zu erlaubtem Traffic sind automatisch erlaubt.

Auf dem WAN musst Du erstmal gar nichts anlegen, denn die Firewall selbst darf sowieso alles und der Traffic vom LAN wird per NAT von Deinem lokalen Subnetz auf die zugewiesene WAN-IP umgesetzt.

Deshalb reicht für den Internet-Traffic, der von Deinem LAN ausgeht, eine einzige "Allow All" "In"-Regel auf dem LAN. Die ist aber normalerweise sowieso schon angelegt.

[meyergru]

Bitte lies erst einmal dies hier und beachte insbesondere Punkt 8. Noch hast Du in keinster Weise dargestellt, wie Deine Topologie aussieht - wie sollen wir wissen, warum die normalerweise funktionierende Standardkonfiguration bei Dir nicht läuft?

Wenn Du beispielsweise den "üblichen Fehler" machst und OpnSense hinter einer Fritzbox einsetzt, gibt es einiges zu beachten. Siehe dazu auch den ersten Link, Punkt #4.

[Anderer]

Ja, danke für die Hinweise, aber das habe ich vor meinem Beitrag gelesen und ich hoffe auch verstanden.

Topologie ist im Footer oder bedarf es einer Zeichnung, obwohl hier alles in einer Reihe ist?
FritzBox 5690 > FritzRepeater 1750E > OPNsense > ASUS GT-BE98 > Clients
192.168.178.1 > 192.168.178.17 > 192.168.178.5 | 192.168.50.1 > 192.168.50.2 > 192.168.50.x

FritzBox und FritzRepeater haben ein anderes Netzwerk mit 192.168.178.1 und  192.168.178.17
vorsichtshalber: Mit FritzBox und FritzRepeater hat der Rest nichts zu tun, als dass das Internet vom FritzRepeater über LAN in den FW-Mini-PC mit OPNsense kommt. Kein WLAN oder sonstige Verbindungen zwischen den Netzwerken.
OPNsense ist in FritzBox als Exposed Host eingetragen.

ASUS GT-BE98 ist im Access-Mode und hat seine IP im gleichen Netzwerk, wie OPNsense, aber am Ende .2 statt .1, DHCP-Server ist deaktiviert und wird von OPNsense erfolgreich übernommen

Client = z. B. Notebook hat im gleichen Netzwerk, wie OPNsense, 192.168.50.4

"Private und Bogon-Netzwerke blockieren" ist jeweils deaktiviert. Funktionierte mit aktiviert jedoch auch nicht.


Fehlermeldung in OPNsense: "Host down", 100.0% Ausfall
Client: Aufruf von Webseiten nicht möglich, ping 8.8.8.8 oder nslookup google.com nicht möglich

Problem bleibt:

KEIN Internet mit den beiden Standard-Regeln.
KEIN Internet mit LAN, pass, in (komplett offen)
KEIN Internet mit zusätzlich LAN, pass, out (komplett offen)
dto. für WAN, pass, in und out. (auch kein Internet mit allen 6 Regeln aktiv)
=> ich habe verstanden, dass ich diese Regeln nicht brauche, aber ich finde nicht JENE Regel (außer floating), welche die Pakete durchlässt bzw. verstehe nicht, zu welchen Stellen ich mehr nachlesen sollte.

Unverständlich für mich:
Weshalb funktioniert das Internet NUR mit der floating rule?
Internet OK mit Global, pass, in/out, Quelle: LAN Netzwerk, Schnittstelle: LAN

Ich möchte ja gerade die floating rule deaktivieren und nur eingeschränkte Regeln auf der LAN-Schnittstelle einrichten, aber damit komme ich eben nicht ins Internet. Was ist an der floating rule anders, das ich im GUI nicht sehe?

Wo könnte dieser Fehler liegen bzw. wonach muss ich bitte suchen?

Und sorry, falls ich etwas übersehe!

Merci


Nachtrag: Hier kommt noch die graphische Topologie

Code Select Expand

    WAN / Internet                        Telekom
        |
        |      VDSL
        |
      .-+-------------.
      |   FritzBox    |                   172.168.178.1      Modem
      '-+-------------'
        |
        |     WiFi-5
        |
      .-+-------------.
      | FritzRepeater |                   172.168.178.17     Access-Point
      '-+-------------'
        |
        |     1G LAN
        |
      .-+-------------.                .- 172.168.178.5      Exposed Host
      |   OPNsense    |                |
      '-+-------------'                '- 172.168.50.1/24    FW, DHCP-Server, später: VPN, Reverse Proxy
        |
        |   2.5G LAN
        |
      .-+-----+-------.
      | ASUS GT-BE98  |                   172.168.50.2       Access-Point, keine FW, kein DHCP-Server, kein VPN
      '-++++----------'
        ||||
        |||| 10G LAN
        ||||           .---------------.
        |||+-----------+ DXP-480T NAS  |  172.168.50.48      Netzlaufwerke, Nextcloud, Home Assistant etc.
        |||            '---------------'
        |||  10G LAN
        |||            .---------------.
        ||+------------+   Notebook    |  172.168.50.4       Windows 11
        ||             '---------------'
        ||  2.5G LAN
        ||             .---------------.
        |+-------------+    Clients    |  172.168.50.x       Mini PC, Notebook, NAS
        |              '---------------'
        |     WiFi-7
        |              .---------------.
        +--------------+    Clients    |  172.168.50.x       Tablet, Notebook, Smartphones, IoT (später: VLAN)
                       '---------------'

[meyergru]

Da Du die OpnSense als exposed host nutzt: Zeig mal bitte "Firewall: NAT: Outbound".

[Anderer]

Hallo, daran habe ich nichts verändert. Alle auf "automatisch ausgehendes NAT"

Modus: Automatische Erstellung ausgehender NAT-Regeln
(Manuelle Regeln sind nicht möglich)

Code Select Expand

LAN    Loopback Netzwerke, 127.0.0.0/8 * * 500 LAN *    JA    Automatisch erstellte Regel für ISAKMP
LAN    Loopback Netzwerke, 127.0.0.0/8 * * *   LAN *    NEIN  Automatisch erstellte Regel
WAN    Loopback Netzwerke, 127.0.0.0/8 * * 500 WAN *    JA    Automatisch erstellte Regel für ISAKMP
WAN    Loopback Netzwerke, 127.0.0.0/8 * * *   WAN *    NEIN  Automatisch erstellte Regel

[Patrick M. Hausen]

Die LAN-Regeln gehören da m.E. nicht hin. Hat die LAN-Schnittstelle einen Gateway konfiguriert?

[Anderer]

Die LAN-Regeln gehören da m.E. nicht hin. Hat die LAN-Schnittstelle einen Gateway konfiguriert?

Ist diese Einstellung gemeint?

Statische IPv4-Konfiguration
IPv4-Adresse: 192.168.50.1/24
IPv4-Gateway-Regeln: LAN_GW - 192.168.178.1

Btw.: Ich habe folgende Zuordnung gewählt - kann das problematisch sein?
LAN - igc1
WAN - igc0
igc2,3,4,5 sind nicht zugeordnet

[meyergru]

Das LAN sollte kein Gateway haben. Der Hilfetext sagt klar:

Select a gateway from the list to reply the incoming packets to the proper next hop on their way back and apply source NAT when configured. This is typically disabled for LAN type interfaces.

[Anderer]

OMG, das scheint der Fehler gewesen zu sein!
Das hätte ich nie gefunden, obwohl es tatsächlich dort steht :-O

Ganz herzlichen Dank für die Unterstützung und sorry, dass ich das übersehen hatte.

GW ist deaktiviert.

Abgesehen von "Automatisch generierte Regeln" sind nur die 2 LAN Standard-Regeln aktiv:
IPv4 *    LAN Netzwerk * * * * *    Default allow LAN to any rule    
IPv6 *    LAN Netzwerk * * * * *    Default allow LAN IPv6 to any rule

Alle anderen Regeln sind deaktiviert. Ich komme jetzt ins Internet und kann ggf. weitere, restiktive LAN Regeln anlegen, falls zusätzliche Dienste gebraucht oder eingeschränkt werden sollen.

Herzlichen Dank!

[Patrick M. Hausen]

Es ist mir deshalb aufgefallen, weil "NAT Automatisch" so funktioniert, dass Regeln für alle Interfaces angelegt werden, die einen Gateway haben.

[meyergru]

Es musste etwas im NAT-Bereich sein, deswegen hatte ich danach gefragt.

[Anderer]

Ja, super!

Da habe ich als Newbie keine Chance.
Diese Zusammenhänge erkenne ich (noch?) nicht.
Ich habe schon überlegt, alles nochmals neu aufzusetzen.

Jetzt ist die Nextcloud auf dem NAS dran...

Danke nochmals für die tolle Unterstützung!