Einsteiger Szenario: PC1 - OPNsense - Fritzbox - PC2

[newbe]

Hallo Forum,

die Tage möchte ich mich ein wenig mit OPNsense befassen und habe dazu ein einfaches Szenario aufgebaut:

Mini PC mit zwei LAN Schnittstellen:
WAN: Fritzbox
LAN: PC1

OPNsense installiert
192.168.1.1 über Browser erreichbar
Updates durchgeführt
PC1 kann ins Internet (Firewall > Rules > LAN: Default Regel "LAN to any rule" aktiv)
PC1 bekommt IP Adresse von OPNsense

Ich habe etwas mit dem Regelwerk (Firewall > Rules > LAN) experimentiert und kann den Datenverkehr für PC1 einschränken.

Soweit, so gut, ich lasse jedoch erstmal die Default Regel für den Test aktiv.

PC2 wird an Fritzbox angeschlossen
Ein weiterer PC2 wird an die Fritzbox angeschlossen.
PC2 bekommt IP Adresse von Fritzbox

Frage
Ist es möglich von PC2 auf PC1 zu kommen, z.B. für eine Netzwerkfreigabe (SMB) und wenn ja, wo stelle ich das ein?
Schließe ich PC1 und PC2 an die Fritzbox an, also beide im gleichen Netz, funktioniert es.

Nun aber soll
PC1: 192.168.1.DHCP nach
PC2: 192.178.1.DHCP verbunden werden.

Vielen Dank für die Hilfe beim nächsten Schritt.

[viragomann]

Hallo,

das braucht die passenden Routen.

Du hast 2 Router zwischen Client und Server. Von Haus aus kennt keiner der Router das Netzwerk hinter dem anderen. Somit senden sie die Pakete mit Ziel-IP im jeweils anderen Subnetz zum Standardgateway.

Wenn du die beiden Subnetze verbinden möchtest, musst du auf beiden Routern jeweils eine statische Route für das andere Subnetz hinzufügen und als Gateway die IP des anderen Routers angeben.

Grüße

[osmom]

Könnte es sein das du in deiner Beschreibung LAN und WAN der OpenSense auf deinen MiniPC vertauscht hast? So wie ich es verstehe ist deine Fritzbox das Gateway zum Internet?
Der Hinweis von Viragomann ist auch wichtig.

[viragomann]

Diesen Verdacht hatte ich auch. Aber im Grunde ist es egal, an welchem Interface was hängt. Als Router routet OPNsense zwischen allen gleichermaßen. Allerdings ist am WAN Inteface standarmäßig "Block private networks" gesetzt, was deaktiviert werden müsste, um Zugriffe von privaten IPs zu erlauben.

Zudem werden Antwortpakete auf eingehende Verbindungen auf einem Interface, auf dem ein Gateway definiert ist, auf das Gateway geschickt. Nachdem meist am WAN ein Gateway definiert ist, trifft das auch hier meist zu.
Um dies zu vermeiden müsste reply-to in der jeweiligen Regel (Advanced Features) oder generell in Firewall: Settings: Advanced deaktiviert werden.
Wenn für die Testumgebung kein Upstream-Gatewy konfiguriert ist, ist das belanglos.

Auch noch zu beachten in diesem Zusammenhang: Ist ein Upstream-Gateway auf einem Interface konfiguriert, wird auf diesem  die Quell-IP ausgehender Verbindungen auf die Gateway-IP genattet.
Für das Zielgerät kommt der Zugriff also vermeintlich von OPNsense.

Vermutlich gibt es auf der Fritzbox standardmäßig ähnliche Funktionen.

[newbe]

@osmom
Danke für den Hinweis, den Fehler habe ich ausgebessert, so ist es richtig:
WAN: Fritzbox
LAN: PC1

@viragomann
Danke für den Schupser, es war zielführend:
Ich habe auf der Fritbox eine Route erstellt.

PC1 <> OPNsense <> Fritzbox <> PC2

> Fritzbox Setup
OPNsense eine feste IP zuweisen:
Details für OPNsense > Heimnetz
IP anpassen, z.B. mit 192.168.178.250
Haken setzen: "IPv4-Adresse dauerhaft zuweisen"
OPNsense neu starten

Heimnetz > Netzwerk > Netzwerkeinstellungen > weitere Einstellungen
Tabelle für statische Routen > IPv4-Routen

Route zur OPNsense erstellen
Netzwerk: 192.168.1.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.250

> OPNsense Setup
Interfaces > WAN
Haken raus: Block private networks

Firewall: Rules: WAN
Regel erstellen: alles zulassen (NUR für den Test)

Ich konnte danach von PC2 auf die Weboberfläche der OPNsense.
Auch konnte ich dann von PC2 auf die Dateifreigabe auf PC1 zugreifen, eine Route auf der OPNsense musste nicht erstellt werden.

Jetzt wird das Firewall Regelwerk nochmal verifiziert.

Ziel ist es, dass
nur PC2 auf die Datenfreigabe von PC1 kommt
und PC1 selbst so gut wie gar nichts im Netzwerk darf.

Dafür ist der Live Log sehr hilfreich.

[newbe]

Um mein Ziel* zu erreichen hatte ich folgendes gemacht. Vielleicht hat jemand noch einen Tipp oder kann bestätigen, es möglichst richtig gemacht zu haben :-)

PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2
*
PC1 hat ein Datenverzeichnis (Windows Freigabe)
PC2 ist der einzige PC welcher auf die Daten zugreifen darf (Datenaustausch)
PC1 soll im Datenverkehr maximal eingeschränkt werden.

Firewall: Rules: LAN
Ich habe alle Regeln gelöscht, somit wird automatisch alles geblockt. PC1 kann keine Verbindung mehr aufbauen.

Firewall: Rules: WAN
Source: IP-PC2
Destination: IP-PC1
Port: 443
Description: Datenzugriff Windowsfreigabe

Source: IP-PC2
Destination: IP-PC1
Port: 445
Description: Datenzugriff Windowsfreigabe

optional:
Source: IP-PC2
Destination: IP-OPNsense
Port: 443
Description: Zugriff auf OPNsense Web

Frage
Sehe ich mir den Live Log vom "WAN" anschauen, herrscht hier auch ein reger Datenaustausch. Welche der "Automatically generated rules" sind denn wirklich notwendig (für mein Szenario).
Firewall: Rules: WAN

[osmom]

Um mein Ziel* zu erreichen hatte ich folgendes gemacht. Vielleicht hat jemand noch einen Tipp oder kann bestätigen, es möglichst richtig gemacht zu haben :-)

PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2
*
PC1 hat ein Datenverzeichnis (Windows Freigabe)
PC2 ist der einzige PC welcher auf die Daten zugreifen darf (Datenaustausch)
PC1 soll im Datenverkehr maximal eingeschränkt werden.

Firewall: Rules: LAN
Ich habe alle Regeln gelöscht, somit wird automatisch alles geblockt. PC1 kann keine Verbindung mehr aufbauen.

Firewall: Rules: WAN
Source: IP-PC2
Destination: IP-PC1
Port: 443
Description: Datenzugriff Windowsfreigabe

Source: IP-PC2
Destination: IP-PC1
Port: 445
Description: Datenzugriff Windowsfreigabe

optional:
Source: IP-PC2
Destination: IP-OPNsense
Port: 443
Description: Zugriff auf OPNsense Web

Frage
Sehe ich mir den Live Log vom "WAN" anschauen, herrscht hier auch ein reger Datenaustausch. Welche der "Automatically generated rules" sind denn wirklich notwendig (für mein Szenario).
Firewall: Rules: WAN

So kann man es machen um die Firerwall etwas zu verstehen. Allerdings ist es nicht "best practic" die Firerwall von der WAN-Seite her zu Administrieren. Von den "Automatically generated rules" lass erst mal die Finger, den die sorgen dafür das du dich nicht aus der Administrationsoberfläche aussperst und auch verschiedene Netzwerkprotokollvorgaben oder Plugin-bedarfe beachtet werden. Wenn du dich weiter mit der Opensense beschäftige möchtes kann ich dir das Buch "Der OPNsense-Praktiker" von markus Stubbig empfehlen. Da gibt es von Zeit zu Zeit eine Neuauflage.