Absicherung von WAN interface?

[name89214]

Hallo zusammen,

frohes neues Jahr und schon mal vorab vielen Dank für den support! Wirklich klasse.

Ich habe kürzlich 25.7 neu installiert. Ich habe ein grundlegendes Verständnis, bin jedoch kein Experte. Ich möchte mich tiefer in IPv6 einarbeiten.

Mein Setup:

• Modem: Draytek Vigor 167
• OPNsense: dedizierter Mini PC mit Intel 4x 1 GB Netzwerkkarte für 1x WAN und 3 andere VLANS. Realtek für LAN.
• ISP: Telekom VDSL in Deutschland
• VLANs wie USER, GUEST und IOT zur Separierung.
• Wechsel von ISC auf dnsmasq, router advertisment ist der default (nicht dnsmasq) auf assisted

Die Internetverbindung habe ich mit der offiziellen Doku hergestellt: https://docs.opnsense.org/manual/how-tos/pppoe_isp_setup.html

Meine Frage: Wie muss ich nun mein WAN interface absichern?

Ich möchte vermeiden, dass mein Modem, mein OPNsense und meine clients public erreichbar sind. Es soll zunächst mal alles geblockt sein. Hier geht es mir um die grundlegende Absicherung nach außen. Als zweiten Schritt würde ich dann VPN wie wireguard einrichten.

Grund meiner Frage ist dieser Artikel: link
Genauer gesagt dieser Abschnitt hier, Zitat: "Erstellen sie unbedingt als erstes eine Regel auf dem WAN Interface, die den IPv6 Verkehr eingehend blockt - da bei IPv6 kein NAT angewendet wird, wäre sonst jedes System aus dem Interner erreichbar welches IPv6 aktiviert hat und keine lokale Firewall aktiv hat!"

Neben diesem Forum und der offiziellen Doku nutze ich diese Video zur Orientierung bei der Einrichtung: https://www.youtube.com/watch?v=fPP4UE6IuRc

Gibt es einen Guide, der grundlegende Einstellungen bei Verwendung eines Modems von Draytek und OPNsense abdeckt? Idealerweise mit Fokus auf IPv6, was es generell im Vergleich zu IPv6 zu beachten gibt und speziell in Sachen Absicherung des Netzwerks nach außen?

Besten Dank für euren Support! :)

[Patrick M. Hausen]

Dein WAN Interface ist bereits "abgesichert". Per Default sind alle eingehenden Anfragen blockiert. Wenn du keine Regel auf WAN oder Floating eingerichtet hast, die irgend etwas erlaubt, dann brauchst du nichts weiter zu tun.

Wer auch immer dieser Herr Leibling ist, er schreibt vollkommenen Quatsch.

Nicht einmal eine Fritzbox, ein Asus- oder TP-Link- oder sonstiges Consumer-Gerät erlaubt ab Werk irgend etwas eingehend.

[meyergru]

Zwei Hinweise:

a. Realtek: https://forum.opnsense.org/index.php?topic=42985.0, Punkt 6
b. IPv6: https://forum.opnsense.org/index.php?topic=45822.0

[name89214]

@ Patrick M. Hausen
Vielen Dank für deine schnelle Rückmeldung und die Richtigstellung! Hätte mich auch gewundert, wo doch per default alles erstmal geblockt ist...

Da es gute und schlechte guides gibt: gibt es gute guides für die ersten Gehversuche? Meine Ziele:

• VLANs wie USER, GUEST, IOT, IPCAM etc: welche best practices bei den Regeln?
• best practices IPv6: rules, aliases, ...
• Netzdiagramme: Insgesamt werden es voraussichtlich 5-6 VLANs. Neben LAN und WAN habe ich noch 3 physische Ports. Ich möchte 2-3 router anschließen, die in verschiedenen Stockwerken arbeiten sollen. Ich nutze OpenWRT. Ich würde mich gerne einlesen, wie andere user solche setups abbilden.

Ich habe bereits IP-cams auf einem VLAN über ein anderes VLAN verfügbar gemacht. Ich bin bislang so vorgegangen, dass ich zunächst durche eine Regel alles blockiere und dann schrittweise einzelne clients freigebe: IP, Port, UDP/TCP/... ich weiß jedoch nicht, ob man so vorgehen sollte. Daher würde ich mich gerne inspirieren lassen, sofern es solche empfehlenswerte guides schon gibt.

Den hier fand ich ganz gut, wobei mir das ganze IPv6 Thema fehlt: https://homenetworkguy.com/how-to/beginners-guide-to-set-up-home-network-using-opnsense/#firewall-aliases

Besten Dank schon mal :)

Edit:
@ meyergru
Eben dein Posting gesehen. Ich habe es eben überflogen: echt super! Danke. Ich lese mich tiefer ein. Das sollte den Großteil meiner Fragen beantworten. Ich melde mich, falls ich noch spezifische Fragen haben sollte.

[Patrick M. Hausen]

"Read this first!" von @meyergru ist eigentlich der beste Startpunkt.

[name89214]

Top, damit fange ich an. Besten Dank euch beiden!

[meyergru]

Der Home Network Guy liegt oft komplett daneben. Beispielsweise empfiehlt er den Einsatz von OpnSense als Transparent Bridge... die Videos sind meist auch veraltet und gehen nicht auf die "europäischen Umstände", wie CGNAT und DS-Lite ein - er setzt IPv4 als (einzig) vorhanden voraus.

Bitte nicht wiederwählen!!!

[name89214]

Der Home Network Guy liegt oft komplett daneben. Beispielsweise empfiehlt er den Einsatz von OpnSense als Transparent Bridge... die Videos sind meist auch veraltet und gehen nicht auf die "europäischen Umstände", wie CGNAT und DS-Lite ein - er setzt IPv4 als (einzig) vorhanden voraus.

Bitte nicht wiederwählen!!!

Oh, gut zu wissen, danke.

Gibt es empfehlenswerte YouTuber, die auf die europäischen oder deutschen Gegebenheiten eingehen? 1-2 Videos zu den OPNsense Grundlagen? Eure verlinkten Zusammenfassungen sind super. Trotzdem finde ich YouTube als Ergänzung für "auf der Couch" ganz praktisch.

[Patrick M. Hausen]

95% oder mehr von YT ist meiner Meinung nach kompletter Mist. Und Video für technische Infos sowieso ein höchst ungeeignetes Format. Wie klickst du auf einen Link in einem Video? Wie funktioniert kopieren und einfügen von Konfigurations-Schnipsel und Befehlen? Hat man überhaupt genug Zeit, um zu lesen, was da am Bildschirm steht und wenn man einen Absatz nochmal lesen will, wie geht das? Zurückspulen ...
Und beim Zuhören wie jemand was erklärt nehmen wir nur einen Bruchteil dessen auf, was wir beim Lesen aufnehmen. Und ich kann doppelt so schnell lesen wie irgend jemand sprechen kann. Etc.


Es gibt die ordentliche und kontinuierlich verbesserte Dokumentation:

https://docs.opnsense.org


Und ein gutes Buch in Deutsch:

https://der-opnsense-praktiker.github.io


Und dann gibt es noch den Beginner's Guide von Zenarmor, der außer Zenarmor auch grundlegende OPNsense-Themen behandelt:

https://www.zenarmor.com/docs/network-security-tutorials/what-is-opnsense


HTH,
Patrick

[meyergru]

Ich gebe Patrick Recht: Du wirst sehr schnell feststellen, dass Netzwerksicherheit ein komplexes und umfangreiches Thema ist, dem Videos kaum gerecht werden können. Die Macher solcher YT-Videos wollen Clicks für Werbeeinnahmen, keine Gratis-Fortbildung für andere.

Leider ist es sehr oft so, dass Leute das nicht verstehen, und dann hier im Forum aufschlagen, weil sie glaubten "ihr Heimnetz irgendwie sicherer zu machen" und dann feststellen müssen, wie schwierig das dann im Detail wirklich ist. Am Ende sind sie oft frustriert und schieben es darauf, dass OpnSense ein schlechtes Produkt ist, dass niemand bedienen kann. Hier mal ein paar einschlägige Beispiele:

https://forum.opnsense.org/index.php?topic=49930
https://forum.opnsense.org/index.php?topic=49400
https://forum.opnsense.org/index.php?topic=49379
https://forum.opnsense.org/index.php?topic=48959
https://forum.opnsense.org/index.php?topic=47854

Ich sage und schreibe das immer wieder: Es gibt einen großen Unterschied zwischen einem sehr einfach zu bedienenden Endkundenprodukt wie einer Fritzbox (die ist per se auch "sicher") und einer höchst flexiblen, professionellen Security-Appliance wie OpnSense - letztere kann viel mehr, nur muss man dann auch wissen, wie man sie bedient. Wenn nicht, kann das auch schnell mal nach hinten losgehen. Insofern muss man die Lernkurve einplanen - es gibt niemanden, der einen an der Hand nimmt oder das für einen tut.

Das nur als grundsätzliche Warnung und ohne Wertung bzw. Ansehen der Person.