Verstädnisfrage Wireguard Regeln

Started by wirehire, Today at 08:15:44 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 08:15:44 AM
 Hey,

ich bräuchte eine Erklärung oder eine Bestätigung ob meine Annahme der Regeln korrekt ist.

Aufbau s2s zwei sense wireguard.

Jetzt möchte ich , das aber nur von der einen Seite aus zb icmp und rdp erreichbar ist, die andere seite aber kein zugriff auf das remote Netz hat.

Ich hatte jetzt keine Regeln auf Seite 1 angelegt = wäre für alles wird geblockt. (floating kann es aber überschreiben?)

und nur auf de rzweiten Seite dann die Regel gemacht, da kam aber blocks und ich musste rdp zb im wireguard interface erlauben.

Wäre der richtige Aufbau, auf beiden Seiten ein Block generell zu legen und dann wiederum darüber nur das entsprechende zu erlauben?

Grüße!
Today at 09:26:12 AM #1
Die Regeln greifen schon auf dem ersten Interface, wo die Pakete ankommen.

Beispiel:
LAN1: 192.168.1.0/4
Remote: 192.168.5.0/24

Nun soll LAN per ICMP an Remote dürfen.
Dazu muss zuerst der Datenverkehr auf LAN1 erlaubt sein, entweder hast du da dort schon eine Regel die z.B: ICMP an alles erlaubt oder legst explizit eine mit dem Ziel Remote an.

Dann brauchst du auf der Remote Firewall noch eine Regel, die als Quelle LAN1 ICMP in Remote erlaubt. Diese Regel wird auf dem Wireguard Interface angelegt, da dort die Pakete zuerst eintreffen.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
Today at 10:29:44 AM #2
Danke für dein Beispiel, mus sich kurz verinnerlichen.

Das heißt, wenn ich vermeiden möchte, das von der remoteseite2 nicht jemand in das netz kommt, darf es keine regel auf dem wg interface haben korrekt? bzw eine block rule.

Seite 1 . lan regel icmp zu ziel zb 10.10.10.10 erlaubt,

dann würde die regel greifen, durch den vpn bis rübe rzur seite zwei.

Und jetzt block nötig oder wnen nicht erlaubt, dann kommt es nicht durch?
Today at 11:06:43 AM #3
Na klar. Du musst bei site-2-site das Wireguard-Interface praktisch genau so behandeln wie ein WAN. Wenn der Tunnel steht, bestimmst Du, was drüber hereinkommt.

Ich mache das immer explizit, indem ich in den WG-Interface-Regeln am Ende ein block auf Ziel any mache und ggf. davor spezifische Regeln. Du musst aber bedenken, dass Floating Rules eventuell früher ziehen als Interface-Regeln. Deswegen muss man dort genau darauf achten, für welche Quell-Interfaces diese Regeln gelten. Ich habe dafür zwei Typen: 1. "alle" - das sind dann beispielsweise DNS und NTP auf der Firewall und 2. Gruppe "lokal", das sind meine eigenen VLANs, die die WG-Interfaces nicht einschließen. Darin wäre dann z.B. Zugriff auf einen Log- oder Mailserver.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions